Holas a todos...
Y gracias por las respuestas.
Bueno el criterio que uso para catalogar de ataque estos intentos de conexion, es que todos los dias tengo muchos intentos
...
posteo algunas de las lineas que me salen :
--
Invalid user frank from ::ffff:62.254.183.162
Address 62.254.183.162 maps to mysi.co.uk, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Invalid user wap from ::ffff:66.161.95.147
Failed password for invalid user wap from ::ffff:66.161.95.147 port 44988 ssh2
--
cada linea multiplicala por 100 o algo asi, ademas son usuarios que no existen en el servidor.
Lo de que tengo la IP es cierto pero al darle un whois me sale lo siguiente :
--
[Preguntando whois.apnic.net]
[No se puede conectar al anfitrión remoto]
--
He hecho lo siguiente :
He cogido todos mis logs secure, he cogido las IP y he hecho un whois, dig, nmap; para tener un poco de informacion pero los resultados han sido infructuosos...
Como he mencionado anteriormente He deshabilitado la conexion via SSH a root, ademas que tengo IPTABLES para que solo me deje conectar desde sitios seguros (IP conexiones).
Si no hay forma de identificar la IP o ISP que se puede hacer!?
con lo que tengo ahora mismo montado me bastaria?