Barrapunto

Lo de la oleada de ataques realmente no es nada nuevo. De hecho, junto con los envíos masivos de SPAM, se vienen registrando ya hace tiempo, desde la zona de la APNIC, multiples intentos de login en varios de los servicios habituales aparte del SSH, como el FTP y el SFTP. Mis logs estan llenitos de ellos.

Aparte de las normas básicas que se han dicho antes (generar contraseñas inteligentes, cambio de puertos, cerrar servicios no usados, iptables, etc...) se puede probar de usar tcpwrappers (para aquellos servicios que lo soporten). Tras una entretenida lectura de los logs, puedes actualizar tcpwrappers o iptables con un montón de IPs nuevas. Tras varios meses, verás que tienes que cerrarte en banda a rangos enteros, pero es que no hay alternativa.

Otra alternativa que se puede probar es forzar el uso de variantes SSL de todos los servicios que se ofrezcan al publico. Algunos de estos grandes bots rastreadores no tienen soporte para hacer frente a servicios solo prestados bajo conexión segura, con lo cual tienen la batall perdida nada más empezar. Y no deja de ser un beneficio, respecto a la privacidad, para sus usuarios.

Finalmente, y en concreto para el SSH, puedes probar de colocar en sshd_config la opción "PermitRootLogin without-password", lo cual deshabilita la identificación interactiva mediante teclado para el superusuario, pero le permite los demas sistemas, como clave pública y PAM. Un saludo