tentativas de login ssh

[Valois]

Pessoal,

Meu servidor está sendo bombardeado por tentativas de login via ssh vindas de um número IP da internet.
Gostaria da opinião dos mestres no assunto para saber qual medida devo tomar. O problema é q está derrubando meu link ADSL.

Obrigado!


Valois

[ttjedi]

tente usar outro terminal para entrar no ssh ... entre nele com o seguinte comando

#ssh ip_do_server -l root

se nao der tente:

#ssh -X -C -p 22 -l root ip_do_server; sleep 5

ve ai se dar!!! valew!!!

[Valois]

Tyago,

Não entendi.
#ssh ip_do_server -l root
o ip_do server é o IP do cara q tá tentando me acessar?

Se for, ele abre o ssh e pede a senha do root.

Favor ser mais claro e obrigado pela ajuda!


Valois

[The-shadow]

Colega esse bombardeio de logins é feito por bots que estão instalados em maquinas comprometidas difundidas pela internet, sao autenticos exercitos de bots quando descobrem um login válido, a maquina na qual a autenticação foi feita com sucesso, passa a pertencer a esse exercito, xegam a ser milhares que posteriormente podem ser usadas para ataques DDoS e companhia..
se voce precisa de acessar o seu servidor pela internet, sugiro que vc instale um programa chamado "sshdfilter" ele trata do assunto
caso vc utilize apenas o ssh atraves da rede interna
utilize o iptables para bloquear o trafego vindo do link ADSL direito á porta do ssh (22)

iptables -A INPUT -p tcp -i eth0 --dport 22 -j DROP

troque a eth0 pela interface que tem o link ADSL
Um abraço[][]

[Valois]

Hum!

Endendi. Eu costumo acessar meu servidor via internet como Putty.
Tem algum problema?


Valew!

[The-shadow]

Então sugiro vc a instalar o tal programa chamado "sshdfilter"
ele vai bloquear os IP's que tenham tido uma autenticação falhada no sshd
e aconselho vc tb a desabilitar o login root via ssh, tal como escolher boas passwords...
com isso, a coisa fica complicada para o lado negro
Um abraço[]

[tuxson]

Kra pode começar mudando a porta do ssh e bloqueando o acesso de root:

Mude essas linas em /etc/ssh/sshd_config
Port 2733 #Exemplo de porta, em vez da porta 22 vai ser a q vc definiu agora
PermitRootLogin no

Dessa maneira qd vc for logar no ssh, vc deve mudar a porta e logar com um usuario limitado e depois o usuario root.

Outra coisa interessante tb e vc instalar um IDS, eu fiz um esqueminha basico com o snort:
http://www.tftecnologia.com.br/ids.zip

[mastellaro]

eai, kra primeira coisa... vai no /etc/ssh/ edita o sshd_config e altera a porta de acesso para ssh.
depois, no mesmo arquivo... no final tem a linha:
"PermiRootLogin yes"
crie um usuário qualquer, apenas para ter acesso ssh, vá nessa linha e modifique de yes para no. E na linha abaixo onde seta a porta do ssh vc insere:
AllowUsers USUARIO-QUE-VOCE-ACABOU-DE-CRIAR
entedeu??

[geofesteiro]

tipo outra coisa tu ja coloco algum tipo de seguranca pro ssh como ele pedi uma contra senha
tipo se se num coloco ai vai uma dica okk
edite o arquivo vi .bash_profile
e coloque estas linhas
./eu.sh
if [ -e sou_eu.txt ] ; then
echo "Acesso Autorizado Obrigado "
rm -f sou_eu.txt
else
echo "Acesso Negado Tente Novamente"
logout
fi
e crie o arquivo eu.sh e coloque estas linhas
#!/bin/bash
echo "Contra Senha ??"
read resp
if [ "$resp" == "senha" ]; then
touch sou_eu.txt
fi
que ja da uma ajudinha no ssh que ai tipo pra uma pessoa quebra a sua senha pode ate se que ocorra + uma contra senha se coloca uma coisa nada a ve tipo qualquer coisa mesmo
ok
espero ter ajudado flowww

[Apolux]

Essa regra bloqueia todos pacotes o ip que esta tentado acessar seu ssh

iptables -A INPUT -p tcp -s <ip_do_cara> --dport 22 -j DROP
Essa regra bloqueia só a porta 22 (ssh)


iptables -A INPUT -p tcp -s <IP_DO_CARA> -j DROP
Essa bloqueia todos pacotes deste ip


faça um script, e ponha pra dar boot na inicialização