Tentativas de Invasão !!

spyderlinux · 28-07-2006, 11:01

Pessoal, constantemente estão tentando arrebentar meu SERVER sem sucesso mas mesmo assim teria alguma forma ou algum script pra dropar por definitivo o IP que está tentando acessar meu ssh ?
Alguma dica ?
Ou ate mesmo algo que eu possa retribuir tanta dedicação de um FDP.

Jul 27 22:56:56 guarana sshd[19299]: Failed password for root from 218.12.174.4 port 59816 ssh2
Jul 27 22:57:06 guarana sshd[19302]: Failed password for root from 218.12.174.4 port 34283 ssh2
Jul 27 22:57:12 guarana sshd[19305]: Failed password for root from 218.12.174.4 port 36934 ssh2
Jul 27 22:57:22 guarana sshd[19308]: Failed password for root from 218.12.174.4 port 39021 ssh2
Jul 27 22:57:28 guarana sshd[19311]: Failed password for root from 218.12.174.4 port 41698 ssh2
Jul 27 22:57:32 guarana sshd[19314]: Failed password for root from 218.12.174.4 port 43350 ssh2
Jul 27 22:57:37 guarana sshd[19317]: Failed password for root from 218.12.174.4 port 44487 ssh2
Jul 27 22:57:41 guarana sshd[19320]: Failed password for root from 218.12.174.4 port 45674 ssh2
Jul 27 22:57:44 guarana sshd[19323]: Failed password for root from 218.12.174.4 port 46807 ssh2
Jul 27 22:57:48 guarana sshd[19326]: Failed password for root from 218.12.174.4 port 47884 ssh2
Jul 27 22:57:52 guarana sshd[19329]: Failed password for root from 218.12.174.4 port 49043 ssh2
Jul 27 22:57:56 guarana sshd[19332]: Failed password for root from 218.12.174.4 port 50209 ssh2
Jul 27 22:58:00 guarana sshd[19335]: Failed password for root from 218.12.174.4 port 51311 ssh2
Jul 27 22:58:04 guarana sshd[19338]: Failed password for root from 218.12.174.4 port 53197 ssh2
Jul 27 22:58:08 guarana sshd[19341]: Failed password for root from 218.12.174.4 port 54613 ssh2
Jul 27 22:58:12 guarana sshd[19344]: Failed password for root from 218.12.174.4 port 57221 ssh2
Jul 27 22:58:16 guarana sshd[19347]: Failed password for root from 218.12.174.4 port 59165 ssh2
Jul 27 22:58:20 guarana sshd[19350]: Failed password for root from 218.12.174.4 port 32844 ssh2
Jul 27 22:58:24 guarana sshd[19353]: Failed password for root from 218.12.174.4 port 34632 ssh2
Jul 27 22:58:28 guarana sshd[19356]: Failed password for root from 218.12.174.4 port 36831 ssh2
Jul 27 22:58:32 guarana sshd[19359]: Failed password for root from 218.12.174.4 port 38945 ssh2
Jul 27 22:58:36 guarana sshd[19362]: Failed password for root from 218.12.174.4 port 41174 ssh2

WhiteTiger · 28-07-2006, 11:48

Duas coisas. Primeiro mude a porta do SSH para outra que não seja a 22.

Instala o ossec: http://www.underlinux.com.br/content/view/6126/59/

spyderlinux · 28-07-2006, 12:02

A porta do ssh ja ta alterada.
Vou analisar esse ossec.
Na sua opinião seria melhor o ossec ou o snort ?

Valeu ai Tiger

WhiteTiger · 28-07-2006, 12:03

Disponha.

MAJOR · 28-07-2006, 14:10

spyderlinux, tenta uma regrinha assim no seu iptables manoww..

Supondo que sua porta ssh esteja em 99

iptables -A INPUT -p tcp 99 -s! 218.12.174.4 -j ACCEPT

abraços manow

WhiteTiger · 28-07-2006, 14:19

Nesta regra vc libera a porta 99 para todos menos o cara que tah te enviando?

Isso não funciona pq esses caras usam sempre trocentos IPs.

O ossec barra já quando eles tentam acessar.

MAJOR · 28-07-2006, 14:37

Com certeza WhiteTiger, porem achei que era um caso especifico desse ip.

Mas é isso ai, e pensando melhor, nem especifica a porta.

iptables -A INPUT -s 218.12.174.4 -j DROP

Abraços

WhiteTiger · 28-07-2006, 14:43

O ideal é que vc mude a porta, bloqueie todo acesso por ssh para rede externa e libere para a rede iterna apenas os mac das máquinas que precisam.

1c3m4n · 28-07-2006, 21:31

Citação:

Postado Originalmente por spyderlinux

A porta do ssh ja ta alterada.
Vou analisar esse ossec.
Na sua opinião seria melhor o ossec ou o snort ?

Valeu ai Tiger

usa os 2 juntos...... o ossec le os logs do snort mto bem
se bem que pra essa merdinha de bruteforce soh o ossec da conta com os 2 pes nas costas

samuelstj · 29-07-2006, 01:36

Como eu libero internamente pra determinados MACs? O que eu tenho que usar? Tb estou com esse problemas.

28-07-2006, 11:01	#1 (permalink)
spyderlinux Registrado em: Apr 2004 Localização: Portugal Idade: 25 Posts: 649 Agradeceu: 1 Agradecido 8 vez(es) em 8 Posts Reputação: 0	Tentativas de Invasão !! Pessoal, constantemente estão tentando arrebentar meu SERVER sem sucesso mas mesmo assim teria alguma forma ou algum script pra dropar por definitivo o IP que está tentando acessar meu ssh ? Alguma dica ? Ou ate mesmo algo que eu possa retribuir tanta dedicação de um FDP. Jul 27 22:56:56 guarana sshd[19299]: Failed password for root from 218.12.174.4 port 59816 ssh2 Jul 27 22:57:06 guarana sshd[19302]: Failed password for root from 218.12.174.4 port 34283 ssh2 Jul 27 22:57:12 guarana sshd[19305]: Failed password for root from 218.12.174.4 port 36934 ssh2 Jul 27 22:57:22 guarana sshd[19308]: Failed password for root from 218.12.174.4 port 39021 ssh2 Jul 27 22:57:28 guarana sshd[19311]: Failed password for root from 218.12.174.4 port 41698 ssh2 Jul 27 22:57:32 guarana sshd[19314]: Failed password for root from 218.12.174.4 port 43350 ssh2 Jul 27 22:57:37 guarana sshd[19317]: Failed password for root from 218.12.174.4 port 44487 ssh2 Jul 27 22:57:41 guarana sshd[19320]: Failed password for root from 218.12.174.4 port 45674 ssh2 Jul 27 22:57:44 guarana sshd[19323]: Failed password for root from 218.12.174.4 port 46807 ssh2 Jul 27 22:57:48 guarana sshd[19326]: Failed password for root from 218.12.174.4 port 47884 ssh2 Jul 27 22:57:52 guarana sshd[19329]: Failed password for root from 218.12.174.4 port 49043 ssh2 Jul 27 22:57:56 guarana sshd[19332]: Failed password for root from 218.12.174.4 port 50209 ssh2 Jul 27 22:58:00 guarana sshd[19335]: Failed password for root from 218.12.174.4 port 51311 ssh2 Jul 27 22:58:04 guarana sshd[19338]: Failed password for root from 218.12.174.4 port 53197 ssh2 Jul 27 22:58:08 guarana sshd[19341]: Failed password for root from 218.12.174.4 port 54613 ssh2 Jul 27 22:58:12 guarana sshd[19344]: Failed password for root from 218.12.174.4 port 57221 ssh2 Jul 27 22:58:16 guarana sshd[19347]: Failed password for root from 218.12.174.4 port 59165 ssh2 Jul 27 22:58:20 guarana sshd[19350]: Failed password for root from 218.12.174.4 port 32844 ssh2 Jul 27 22:58:24 guarana sshd[19353]: Failed password for root from 218.12.174.4 port 34632 ssh2 Jul 27 22:58:28 guarana sshd[19356]: Failed password for root from 218.12.174.4 port 36831 ssh2 Jul 27 22:58:32 guarana sshd[19359]: Failed password for root from 218.12.174.4 port 38945 ssh2 Jul 27 22:58:36 guarana sshd[19362]: Failed password for root from 218.12.174.4 port 41174 ssh2 __________________ Att, SpYdErLiNuX Linux User: 388431 www.bestlinux.com.br

28-07-2006, 11:48	#2 (permalink)
WhiteTiger Registrado em: Mar 2005 Localização: Portugal Idade: 24 Posts: 797 Agradeceu: 0 Agradecido 9 vez(es) em 9 Posts Reputação: 0	Re: Tentativas de Invasão !! Duas coisas. Primeiro mude a porta do SSH para outra que não seja a 22. Instala o ossec: http://www.underlinux.com.br/content/view/6126/59/ __________________ www.whitetiger.com.br

28-07-2006, 12:02	#3 (permalink)
spyderlinux Registrado em: Apr 2004 Localização: Portugal Idade: 25 Posts: 649 Agradeceu: 1 Agradecido 8 vez(es) em 8 Posts Reputação: 0	Re: Tentativas de Invasão !! A porta do ssh ja ta alterada. Vou analisar esse ossec. Na sua opinião seria melhor o ossec ou o snort ? Valeu ai Tiger __________________ Att, SpYdErLiNuX Linux User: 388431 www.bestlinux.com.br

28-07-2006, 12:03	#4 (permalink)
WhiteTiger Registrado em: Mar 2005 Localização: Portugal Idade: 24 Posts: 797 Agradeceu: 0 Agradecido 9 vez(es) em 9 Posts Reputação: 0	Re: Tentativas de Invasão !! Disponha. __________________ www.whitetiger.com.br

28-07-2006, 14:10	#5 (permalink)
MAJOR Registrado em: Oct 2002 Localização: Campinas Idade: 25 Posts: 776 Agradeceu: 0 Agradecido 7 vez(es) em 6 Posts Reputação: 153	Re: Tentativas de Invasão !! spyderlinux, tenta uma regrinha assim no seu iptables manoww.. Supondo que sua porta ssh esteja em 99 iptables -A INPUT -p tcp 99 -s! 218.12.174.4 -j ACCEPT abraços manow __________________ Abraços e boa Pesquisa. MAJOR

28-07-2006, 14:19	#6 (permalink)
WhiteTiger Registrado em: Mar 2005 Localização: Portugal Idade: 24 Posts: 797 Agradeceu: 0 Agradecido 9 vez(es) em 9 Posts Reputação: 0	Re: Tentativas de Invasão !! Nesta regra vc libera a porta 99 para todos menos o cara que tah te enviando? Isso não funciona pq esses caras usam sempre trocentos IPs. O ossec barra já quando eles tentam acessar. __________________ www.whitetiger.com.br

28-07-2006, 14:37	#7 (permalink)
MAJOR Registrado em: Oct 2002 Localização: Campinas Idade: 25 Posts: 776 Agradeceu: 0 Agradecido 7 vez(es) em 6 Posts Reputação: 153	Re: Tentativas de Invasão !! Com certeza WhiteTiger, porem achei que era um caso especifico desse ip. Mas é isso ai, e pensando melhor, nem especifica a porta. iptables -A INPUT -s 218.12.174.4 -j DROP Abraços __________________ Abraços e boa Pesquisa. MAJOR

28-07-2006, 14:43	#8 (permalink)
WhiteTiger Registrado em: Mar 2005 Localização: Portugal Idade: 24 Posts: 797 Agradeceu: 0 Agradecido 9 vez(es) em 9 Posts Reputação: 0	Re: Tentativas de Invasão !! O ideal é que vc mude a porta, bloqueie todo acesso por ssh para rede externa e libere para a rede iterna apenas os mac das máquinas que precisam. __________________ www.whitetiger.com.br

29-07-2006, 01:36	#10 (permalink)
samuelstj Registrado em: Jul 2005 Idade: 24 Posts: 279 Agradeceu: 5 Agradecido 21 vez(es) em 21 Posts Reputação: 70	Re: Tentativas de Invasão !! Como eu libero internamente pra determinados MACs? O que eu tenho que usar? Tb estou com esse problemas. __________________

Ferramentas do Tópico
Exibir versão para impressão Enviar essa página por email

Tópicos Similares
Tópico	Tópico Iniciado Por	Fórum	Respostas	Última Mensagem
Tentativas de montar DVD de fotos com ManDVD	Edilmar	Aplicativos	0	24-12-2006 09:18
tentativas de login ssh	Valois	Segurança	11	19-12-2006 10:25
armazenar tentativas de ssh	roggy	Proxy/NAT/Firewall	8	26-06-2005 09:05
Bloquear tentativas excessiva.	EduLucas	Sshd/Telnet	10	29-03-2005 08:05
tentativas de invasão	LinuxKids	Segurança	6	14-12-2004 07:58