defensive
Análisis de Logs SSH: Detectar Ataques de Fuerza Bruta
19 Apr 2026
Los ataques de fuerza bruta contra SSH son de los más comunes. Saber leerlos en los logs es fundamental.
Dónde están los logs
# Debian/Ubuntu
cat /var/log/auth.log | grep sshd
# CentOS/RHEL
cat /var/log/secure | grep sshd
# Systemd
journalctl -u ssh --since "24 hours ago"
Detectar intentos fallidos
# Contar intentos fallidos por IP
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -rn | head -20
# Ver usuarios objetivo
grep "Failed password" /var/log/auth.log | awk '{print $9}' | sort | uniq -c | sort -rn
Detectar logins exitosos
grep "Accepted password\|Accepted publickey" /var/log/auth.log
Si ves un login exitoso de una IP desconocida, es una alerta roja.
Respuesta: bloquear con iptables
# Bloquear IP manualmente
sudo iptables -A INPUT -s <IP_ATACANTE> -j DROP
# Ver reglas activas
sudo iptables -L -n
Automatizar con Fail2ban
# Estado del jail SSH
sudo fail2ban-client status sshd
# Banear manualmente
sudo fail2ban-client set sshd banip <IP>
# Desbanear
sudo fail2ban-client set sshd unbanip <IP>