Cazando Intrusos en Linux
Si administras un servidor Linux, estás siendo atacado. Descubre quiénes son los peores ofensores con una sola línea de código y análisis forense.
El Comando Mágico
Copia y pega esto en tu terminal para ver el Top 20 de IPs atacantes:
grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head -n 20
Anatomía del Comando
Desglosemos qué está ocurriendo bajo el capó:
grep "Failed password" ...
Busca en los registros de autenticación todas las líneas donde hubo un fallo de contraseña.
awk '{print $(NF-3)}'
Extrae solo la dirección IP. Le dice al sistema: "Cuenta 3 palabras desde el final de la línea hacia atrás".
sort | uniq -c
Primero ordena las IPs y luego las "comprime", contando cuántas veces aparece cada una.
sort -nr
Ordena la lista final numéricamente (-n) y en orden descendente (-r), poniendo a los mayores atacantes arriba.
head -n 20
Recorta la salida para mostrar solo los 20 primeros resultados.
¿Qué hacer con esta información?
Si ves IPs con miles de intentos, considera estas acciones de defensa:
- Instalar Fail2Ban para automatizar el bloqueo de IPs.
- Cambiar el puerto SSH por defecto (22) a uno no estándar.
- Deshabilitar el acceso por contraseña y usar exclusivamente llaves SSH.
Comentarios
Publicar un comentario