Esto es una referencia a un ataque anterior que recibí, en el que nuevamente un dispositivo Sonic Ericson que ni siquiera se si tiene acceso real a internet, visitó mi sitio web, por lo que ahora es un ataque recurrente y me hizo ver que tal vez me paso de confiado. Si, esto es un amable spam, pa que visiten un estado que publiqué el año pasado XD
Esta vez la cosa es sencilla. El ataque logró tumbar mis servicios, algo de rutina. Bastaba con levantarlos de nuevo y aquí no ha pasado nada.
Debido a que últimamente no tengo tanto tiempo para revisar los logs, lo dejaba pasar con solo reiniciar los servicios, así que esta vez me tome el tiempo de leerlos y no vi nada nuevo. Al igual que los casos anteriores, algún loco que estaba escaneando mi sitio por vulnerabilidades y accidentalmente lo tiró abajo. Lo normal XD
Por algún milagro de la vida, decidí buscar la ip en el servicio de geolocalización por IP. De nuevo, lo normal, una ip gringa de Amazon. Pero luego recordé la pagina de AbuseIPDB y la puse ahí. Resultado positivo, 4 reportes. Dejo el link por si alguien tiene curiosidad, pero la mayoría de los reportes son solo ataques de fuerza bruta.
https://www.abuseipdb.com/check/18.246.231.7
Una cosa que me di cuenta cuando hablaba en un foro sobre este tema, es que Fail2Ban no puede bloquear este tipo de ataques porque, en realidad no falla nunca. son peticiones válidas, asi que debería buscar una forma de bloquear automáticamente este tipo de situaciones, pero por el momento, todo se resuelve con un
sudo iptables -A INPUT -s 18.246.231.7 -j DROP
Una respuesta a “Seguridad Informática: Un ataque recurrente”
[…] estado publicando últimamente artículos sobre seguridad informática como ataques de DDoS extraño que finalmente termine bloqueando o mi experiencia con virus de wordpress que tratan de […]