[Alumnos] Ataques por fuerza bruta sobre ssh

[Federico Ariel Bareilles]

Hola a Todas y Todos,

 	Los ataque por fuerza bruta sobre ssh son cosa cotidiana en 
nuestra red desde hace años; pero desde el 19 de marzo la frecuencia de 
ataques sobre la facultad aumento significativamente. En los últimos 5 
días (29/03 al 3/04) la cuenta supero los 5000 IP desde los que se intento 
un ataque sobre diferentes equipos (monitoreados) en la Facultad.

 	Inicialmente el origen de los IPs era de China, luego se agregaron 
India y África; actualmente hay de Europa, Arabia, Perú, Brasil y 
Argentina (Telefónica únicamente). La mayoría corresponden a equipos 
domiciliarios; es de suponer que el ataque inicial de China ha tenido 
éxito en muchos lugares del planeta y se van sumando al ataque.

 	En la Facultad tenemos un mecanismo dinámico de defensa para este 
tipo de ataques basado en análisis de logs; pero son unos pocos equipos 
los que aportan logs files al sistema. Les pedimos a quienes deseen 
colaborar con los logs de sus equipos hacer lo siguiente:

 	Requisitos: usar Linux, tener habilitado el servicio de ssh y 
acceso a root.

 	Como usuario root:

*) Bajar el archivo:

http://fcaglp.fcaglp.unlp.edu.ar/datos/soporte/remotelog.conf

*) Colocarlo en /etc/rsyslog.d/

mv remotelog.conf /etc/rsyslog.d/

*) Reiniciar el sistema de logeo:

/etc/init.d/rsyslog restart


 	Por supuesto, es una sugerencia y no hay obligación hacerlo. 
Tampoco es la intención de este mail generar pánico ni preocupación. Sólo 
se pretende informar a nuestra comunidad una situación que se salio de la 
"normalidad". Tampoco hemos encontrado reportes globales de este problema.

 	Consultas y sugerencias a soporte en fcaglp.unlp.edu.ar

 	Saludos,

Equipo de Soporte Informático
de la FCAGLP - UNLP.