[LUG.ro] Filtrado pero entra igual, ¿cómo es posible?

Horacio Castellini horacio9573 en yahoo.com.ar
Vie Jul 4 07:07:18 ART 2014


Buenas,,, esta es una pregunta para algún experto en seguridad ,,,

En las reglas de iptables tengo filtrada una dirección IP como se ve a 
continuación,,,

DROP       all  --  61.174.51.221        0.0.0.0/0
DROP       all  --  116.10.191.164       0.0.0.0/0
DROP       all  --  116.10.191.197       0.0.0.0/0 <-----
DROP       all  --  116.10.191.162       0.0.0.0/0
DROP       all  --  202.109.143.18       0.0.0.0/0

he usado la instrucción

492  sudo /sbin/iptables -A INPUT -s 116.10.191.197  -j DROP

para bloquarla, pero cuando analizo los logs,,, con,,,

sudo cat /var/log/auth.log|grep ssh2|tail -80

ops sorpresa aparece esto,,,

Jul  4 01:59:24 nubehoracio sshd[22939]: Failed password for root from 
116.10.191.197 port 53743 ssh2
Jul  4 01:59:26 nubehoracio sshd[22939]: Failed password for root from 
116.10.191.197 port 53743 ssh2
Jul  4 01:59:28 nubehoracio sshd[22939]: Failed password for root from 
116.10.191.197 port 53743 ssh2

El tipo sigue haciendo ataques,,,

La máquina en cuestión es un VPS y desde un tiempo a esta parte estoy 
sufriendo ataques de fuerza bruta por parte de IP asígnadas a la red 
TOR,, he podido filtrar a todas menos a esa, que me sigue jodiendo,,

Alguien me puede decir como ha vulnerado la seguridad?

Saludos,,,


Más información sobre la lista de distribución Lugro