Subiendo (o intentando subir) llaves ssh

Un ataque que se sale de lo normal, un tío desde la ip 69.61.19.51 que se ha tirado toda la noche intentando subir archivos para después conectarse por ssh a una de las maquinas. Ademas intentándolo de varias formas. No tiene pinta de ataque automático, el pollo lo esta haciendo a conciencia.

Lo primero que intento …

[Tue Jun 30 22:53:42.881989 2015] [authz_core:error] [pid 14447] [client 69.61.19.51:37136] AH01630: client denied by server configuration: /var/www/html/.htpasswd~

Como no podía se puso a intentar colocar cosas en los /homes

69.61.19.51 – – [30/Jun/2015:22:53:40 +0200] «HEAD /.bitcoin/wallet.dat HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:40 +0200] «HEAD /.sh_history HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:40 +0200] «HEAD /.history HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:40 +0200] «HEAD /.bash_history HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:40 +0200] «HEAD /.ssh/id_dsa.bak HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:39 +0200] «HEAD /.ssh/id_rsa.bak HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:39 +0200] «HEAD /.ssh/id_ecdsa.old HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:39 +0200] «HEAD /.ssh/id_ecdsa_old HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:39 +0200] «HEAD /.ssh/id_ecdsa2 HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:39 +0200] «HEAD /.ssh/id_dsa2 HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:39 +0200] «HEAD /.ssh/id_rsa2 HTTP/1.1» 404 218 «-» «-»
69.61.19.51 – – [30/Jun/2015:22:53:39 +0200] «HEAD /.ssh/id_ecdsa_2 HTTP/1.1» 404 218 «-» «-»

Y así durante unas cuantas horas, rastreando a ver si había algún directorio con los permisos mal puestos.

Otra de las cosas que ultimamente intentan mucho es sustituir (o añadir) un fichero falso de login …

91.200.12.29 – – [25/Jun/2015:23:57:18 +0200] «POST /wp-login.php HTTP/1.1» 404 22081 «-» «Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0»
91.200.12.29 – – [25/Jun/2015:23:57:12 +0200] «POST /wp-login.php HTTP/1.1» 404 22081 «-» «Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0»
91.200.12.29 – – [25/Jun/2015:23:57:05 +0200] «POST /wp-login.php HTTP/1.1» 404 22060 «-» «Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0»
91.200.12.29 – – [25/Jun/2015:23:56:59 +0200] «POST /wp-login.php HTTP/1.1» 404 22060 «-» «Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0»
91.200.12.29 – – [25/Jun/2015:23:56:52 +0200] «POST /wp-login.php HTTP/1.1» 404 22060 «-» «Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0»

Parece que la gente sigue con mucho tiempo libre, esto empieza a ser un sin vivir …

Y no se vayan todavía, que aun hay mas … han vuelto los escaneos en busca de servidores de correo que permiten el relay. Esto si que hacia tiempo que no pasaba.

Jun 25 21:30:14 ks38032 sm-mta[9692]: ruleset=check_relay, arg1=[193.0.200.132], arg2=193.0.200.132, relay=[193.0.200.132], reject=421 4.3.2 Connection rate limit exceeded.
Jun 25 21:30:14 ks38032 sm-mta[9691]: ruleset=check_relay, arg1=[193.0.200.132], arg2=193.0.200.132, relay=[193.0.200.132], reject=421 4.3.2 Connection rate limit exceeded.
Jun 25 21:30:14 ks38032 sm-mta[9690]: ruleset=check_relay, arg1=[193.0.200.132], arg2=193.0.200.132, relay=[193.0.200.132], reject=421 4.3.2 Connection rate limit exceeded.
Jun 25 21:30:14 ks38032 sm-mta[9689]: ruleset=check_relay, arg1=[193.0.200.132], arg2=193.0.200.132, relay=[193.0.200.132], reject=421 4.3.2 Connection rate limit exceeded.
Jun 25 21:30:13 ks38032 sm-mta[9688]: ruleset=check_relay, arg1=[193.0.200.132], arg2=193.0.200.132, relay=[193.0.200.132], reject=421 4.3.2 Connection rate limit exceeded.
Jun 25 21:30:13 ks38032 sm-mta[9687]: ruleset=check_relay, arg1=[193.0.200.132], arg2=193.0.200.132, relay=[193.0.200.132], reject=421 4.3.2 Connection rate limit exceeded.