#  > Geral >  > Segurança >  >  Meu servidor mikrotik, sofrendo ataque...

## claudecir

Pessoal,

Acessei ontem meu servidor mikrotik, e verifiquei na área de logs, que alguem estava tentando fazer loguin no meu servidor, ele usava varios usuarios diferentes, mas, nenhum era meu usuario real...

A pessoa que tentava invadir vinha de fora, ou seja, da internet para o servidor...

Renovei o ip do servidor, mas, não funcionou, o ataque continuava...

Alguem sabe como que podem saber que sou eu para continuar me atacando mesmo com outro IP?

Como que bloqueio logins externos? O que posso fazer para me defender melhor?

Meu modem adsl esta funcionando como bridge, o mikrotik que faz login e todo resto?

----------


## Minasnet

> Pessoal,
> 
> Acessei ontem meu servidor mikrotik, e verifiquei na área de logs, que alguem estava tentando fazer loguin no meu servidor, ele usava varios usuarios diferentes, mas, nenhum era meu usuario real...
> 
> A pessoa que tentava invadir vinha de fora, ou seja, da internet para o servidor...
> 
> Renovei o ip do servidor, mas, não funcionou, o ataque continuava...
> 
> Alguem sabe como que podem saber que sou eu para continuar me atacando mesmo com outro IP?
> ...


Amigo vc já tentou mudar as portas do seu MK, Tipo SSHH, Telnet, Web, antes eu tmb tinha este problema de ataques foi somente mudar as porta que foi resolvido.
 :Proud:

----------


## 1929

Era só eu ligar meu servidor e aparecia em poucos minutos no log o ataque via ssh.
Resolvi desativando o SSH.

----------


## claudecir

> Amigo vc já tentou mudar as portas do seu MK, Tipo SSHH, Telnet, Web, antes eu tmb tinha este problema de ataques foi somente mudar as porta que foi resolvido.



Boa idéia valeuu...

----------


## rrinfor

> Pessoal,
> 
> Acessei ontem meu servidor mikrotik, e verifiquei na área de logs, que alguem estava tentando fazer loguin no meu servidor, ele usava varios usuarios diferentes, mas, nenhum era meu usuario real...
> 
> A pessoa que tentava invadir vinha de fora, ou seja, da internet para o servidor...
> 
> Renovei o ip do servidor, mas, não funcionou, o ataque continuava...
> 
> Alguem sabe como que podem saber que sou eu para continuar me atacando mesmo com outro IP?
> ...


Olá!

Referente aos ataques por ssh existe uma maneira mais personalizada de se proteger sem bloquear a porta pois é um serviço muito interessante, no meu caso uso o ssh para enviar mudanças para o mikrotik e outros servidores Unix/Linux atreavés do meu gerenciador que utiliza ssh para acesso remoto, sem falar que sempre estou acessando meus server fora da minha rede.
Segue abaixo um exemplo de blacklist para ssh postado no wiki do Mikrotik:

/ip firewall filter 

add action=drop chain=input comment="Drop ssh brute forcers" disabled=no dst-port=22 protocol=tcp src-address=*!192.168.2.2* src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=4w2d chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp src-address-list=ssh_stage3

add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp

Nas regras acima um host remoto ao tentar acessa seu equipamento irá passar por 3 estágios, sendo que na quarta tentativa de acesso seu ip _(atacante)_ vai para um _blacklist_ que fica em _/ip firewall address-list_ criado pelas regras acima, dessa forma vc poderá manter o serviço ativo sem ser prejudicado por um acesso indevido, os ips dos atacantes é mantido no blacklist por um periodo de 30 dias conforme a opção _address-list-timeout=4w2d_ da segunda regra, e tbm deve ser observado uma exeção que eu adicionei na primeira regra ex: _src-address=!192.168.2.2,_ tive que especificar o meu endereço para eu memso nao ser bloqueado :-)

Abraços :Ciao:

----------


## osvaldohp

Existem vários métodos para barrar ataques por ssh, um deles é usar "chave criptográfica" e o mais comum sem dúvidas é vc mudar a porta padrão do serviço ssh. O que deve estar acontecendo com vc é o seguinde, tem alguém rodando alguma ferramenta automática que esta realizando um ataque de força bruta na range de IP da sua servidora de acesso a Internet.
Valew...

obs: Apenas mude a porta padrãopor enquanto, vai ajudar muito.

----------


## 1929

> Existem vários métodos para barrar ataques por ssh, um deles é usar "chave criptográfica" e o mais comum sem dúvidas é vc mudar a porta padrão do serviço ssh. O que deve estar acontecendo com vc é o seguinde, tem alguém rodando alguma ferramenta automática que esta realizando um ataque de força bruta na range de IP da sua servidora de acesso a Internet.
> Valew...
> 
> obs: Apenas mude a porta padrãopor enquanto, vai ajudar muito.


Eu ja sofri ataque deste tipo, mas foi pelo link de internet. Dai não tem criptografia que barre. Desativei o SSH no MK.

----------

