#  > Geral >  > Segurança >  >  Tentativa de invasao mikrotik.

## angelino

Vou postar um print que tirei do meu mikrotik sera que estou sendo atacado se estiver como proceder.

----------


## Fael

*Boa noite amigo, isso é apenas os botnet tentando logar no seu mk através da porta 22 (ssh), você pode "desativar" o login para todos indo em Ip/Services procure por SSH, ponha em Avaliable ip o seu ip local ou toda sua rede interna, outra forma seria via firewall, barrando o acesso externo ou filtrando (Mais difícil).
Se ajudei manda um joinha :0
*

----------


## Acronimo

programas robos qualquer equipamento sofre este ataque, no mikrotik é mais visivel devido a usar muito o log

use estas regras

/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
add action=drop chain=input comment="DROP SSH BRUTE FORCERS ( BLACK LIST )" \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=4w2d chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp
add action=drop chain=input comment="BLOQUEIO SSH - PORT 22-23" disabled=no \
dst-port=22-23 protocol=tcp

/ip firewall filter
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="BARRAR BRUTE FORCA PARA FTP"
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h


/ip firewall filter
add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Port Scanners a lista de bloqueados por 99hs" disabled=no protocol=tcp psd=20,3s,3,1


add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Mass Scanners a lista de bloqueados por 99hs" disabled=no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack


add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Null Scanners a lista de bloqueados por 99hs" disabled=no protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg


## Agora vamos dropar as tentativas de conexão com o router dos ips detectados. ##
add action=drop chain=input comment="Dropa conexoes de scanners" disabled=no protocol=tcp src-address-list=bloqueados

----------


## valdineiq

Um boa pratica e bloquear as portas que voce nao usa e de acesso a parti de redes que nao deveria.
E so alterar a porta padrao do SSH para outra e dropar IP ou interface que nao deveria ter acesso.
A regra de firewall que foi postada aqui funciona muito bem para impedir força bruta embora eu prefiro fazer uma sessão VPN na central e ter acesso ao meus equipamentos a parti da rede interna assim so libero acesso a minha rede.
Um outra coisa que voce pode fazer e negar acesso a parti de IP internacional ou seja nao tem o porque de IP de outro pais tentar acessar seus equipamentos.
Altere a senha do ADMIN tambem, nao deixe padrao pois ja peguei provedores com senha ADMIN em branco. Eu costumo tirar o nivel de acesso do admin para read e coloco um outro usuario como acesso FULL e so permito este usuario acessar com IP da minha rede, lembrando que faço VPN para acessar.

----------


## felipenoogueira

Mudando a porta padrão do SSH você já consegue fugir de 99% dos bots, só receberá tentativas se o ataque for realmente direcionado a você. Mas é claro que regras de firewall são sempre bem vindas.

----------

