jueves, 21 de mayo de 2026

Cómo saber si están atacando tu servidor Linux

Servidor Linux Atacado

Hace poco publiqué un video mostrando mi servidor Raspberry Pi y mi web:local.anibalcopitan.com

Minutos después empezaron las visitas raras. No eran usuarios normales. Eran bots, escaneos automáticos y conexiones intentando descubrir puertos abiertos o servicios vulnerables. Si tienes un servidor Linux expuesto a internet, esto te interesa.

Lo primero que debes entender

Internet está lleno de bots automatizados. Apenas publicas:

  • una IP
  • un dominio
  • un servidor casero
  • una Raspberry Pi
  • un panel admin

…empiezan los escaneos.

La mayoría buscan:

  • Puertos abiertos
  • SSH vulnerable
  • Paneles web
  • Bases de datos expuestas
  • APIs inseguras

Ver conexiones activas en tu servidor

Uno de los comandos más útiles:

netstat -antp

Te permite ver:

  • conexiones activas
  • IPs conectadas
  • puertos utilizados
  • procesos asociados
Terminal Linux mostrando conexiones TCP activas

Presta atención a:

  • muchas conexiones repetidas
  • IPs desconocidas
  • conexiones SYN_RECV constantes
  • tráfico extraño en puertos web

Posible SYN Flood o escaneo de puertos

Si ves demasiadas peticiones HTTP repetidas o conexiones incompletas:

SYN_RECV

Puede tratarse de:

  • escaneo automático
  • bot crawler agresivo
  • intento de ataque SYN flood

No significa que ya te hackearon.

Pero sí que alguien está tocando la puerta.

Monitorear tráfico en tiempo real

Para inspeccionar una IP sospechosa:

sudo tcpdump -n host 89.32.250.167

Esto muestra paquetes en tiempo real.

Muy útil para detectar:

  • spam de requests
  • escaneos
  • conexiones repetitivas
  • comportamiento anormal
Captura de tcpdump mostrando paquetes

Ver tráfico HTTP en vivo

Puedes monitorear directamente el puerto 80:

sudo tcpdump -n port 80

O HTTPS:

sudo tcpdump -n port 443

Esto ayuda bastante para entender:

  • qué endpoints atacan
  • frecuencia de peticiones
  • bots automáticos
  • intentos de acceso

Identificar de dónde viene una IP

Puedes consultar información pública:

whois 89.32.250.167

Obtendrás datos como:

  • proveedor
  • país
  • ASN
  • rango IP

No siempre revela al atacante real, pero da contexto.

Herramientas que recomiendo en Linux

Si usas servidores Linux o Raspberry Pi:

Monitoreo

htop
iftop
btop
ss -tunap

Seguridad básica

ufw
fail2ban
iptables

Logs útiles

journalctl -xe
tail -f /var/log/nginx/access.log

Lo más importante

Mostrar proyectos reales en internet es increíble para aprender.

Pero también significa:

  • exponerte a internet real
  • tráfico real
  • bots reales
  • ataques automatizados reales

Y eso también es parte de ser developer.

Conclusión

Si tienes un servidor Linux expuesto:

  • monitorea conexiones
  • revisa logs
  • usa firewall
  • no expongas servicios innecesarios
  • aprende networking básico

Porque internet constantemente está escaneando todo. Y sí, incluso tu Raspberry Pi.

Autor: Anibal Copitan ()

Publicado por a las
🟢 WhatsApp
Etiquetas: , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)