#  > Geral >  > Segurança >  >  Ataque Brute Force

## PiTsA

Tenho analisado meus logs ultimamente e percebi que todos os dias estou sendo alvo de ataques Brute force de vários IPs.... gostariad e saber se eu não sou o único....



```
sshd:
   Authentication Failures:
      unknown (200.129.178.33): 441 Time(s)
      andre (200.129.178.33): 10 Time(s)
      mailman (200.129.178.33): 10 Time(s)
      root (210.205.6.63): 8 Time(s)
      squid (200.129.178.33): 6 Time(s)
      nobody (200.129.178.33): 3 Time(s)
      root (201008166141.user.veloxzone.com.br): 1 Time(s)
      unknown (201008166141.user.veloxzone.com.br): 1 Time(s)
   Invalid Users:
      Unknown Account: 442 Time(s)
```

 


```
Failed logins from these:
   andre/password from 200.129.178.33: 10 Time(s)
   mailman/password from 200.129.178.33: 10 Time(s)
   nobody/password from 200.129.178.33: 3 Time(s)
   root/password from 201.8.166.141: 1 Time(s)
   root/password from 210.205.6.63: 8 Time(s)
   squid/password from 200.129.178.33: 6 Time(s)
 
**Unmatched Entries**
Invalid user diretoria from 200.129.178.33
Failed password for invalid user diretoria from 200.129.178.33 port 38207 ssh2
Invalid user diretoria from 200.129.178.33
Failed password for invalid user diretoria from 200.129.178.33 port 38256 ssh2
Invalid user diretoria from 200.129.178.33
Failed password for invalid user diretoria from 200.129.178.33 port 38306 ssh2
Invalid user diretoria from 200.129.178.33
Failed password for invalid user diretoria from 200.129.178.33 port 38367 ssh2
Invalid user diretoria from 200.129.178.33
Failed password for invalid user diretoria from 200.129.178.33 port 38413 ssh2
Invalid user diretoria from 200.129.178.33
Failed password for invalid user diretoria from 200.129.178.33 port 38486 ssh2
Invalid user diretoria from 200.129.178.33
Failed password for invalid user diretoria from 200.129.178.33 port 38535 ssh2
Invalid user diretoria from 200.129.178.33
Failed password for invalid user diretoria from 200.129.178.33 port 38583 ssh2
Invalid user diretoria from 200.129.178.33
Failed password for invalid user diretoria from 200.129.178.33 port 38634 ssh2
Invalid user diretoria from 200.129.178.33
Failed password for invalid user diretoria from 200.129.178.33 port 38681 ssh2
Invalid user diretor from 200.129.178.33
Failed password for invalid user diretor from 200.129.178.33 port 38765 ssh2
Invalid user diretor from 200.129.178.33
Failed password for invalid user diretor from 200.129.178.33 port 38853 ssh2
Invalid user diretor from 200.129.178.33
Failed password for invalid user diretor from 200.129.178.33 port 38910 ssh2
Invalid user diretor from 200.129.178.33
Failed password for invalid user diretor from 200.129.178.33 port 38951 ssh2
Invalid user diretor from 200.129.178.33
Failed password for invalid user diretor from 200.129.178.33 port 39005 ssh2
Invalid user diretor from 200.129.178.33
Failed password for invalid user diretor from 200.129.178.33 port 39051 ssh2
Invalid user diretor from 200.129.178.33
Failed password for invalid user diretor from 200.129.178.33 port 39111 ssh2
Invalid user diretor from 200.129.178.33
Failed password for invalid user diretor from 200.129.178.33 port 39155 ssh2
Invalid user diretor from 200.129.178.33
Failed password for invalid user diretor from 200.129.178.33 port 39298 ssh2
Invalid user lucas from 200.129.178.33
Failed password for invalid user lucas from 200.129.178.33 port 46338 ssh2
Invalid user lucas from 200.129.178.33
Failed password for invalid user lucas from 200.129.178.33 port 46386 ssh2
Invalid user lucas from 200.129.178.33
Failed password for invalid user lucas from 200.129.178.33 port 46465 ssh2
Invalid user mauricio from 200.129.178.33
Invalid user lucas from 200.129.178.33
Failed password for invalid user mauricio from 200.129.178.33 port 46464 ssh2
Failed password for invalid user lucas from 200.129.178.33 port 46509 ssh2
Invalid user mauricio from 200.129.178.33
Invalid user lucas from 200.129.178.33
Failed password for invalid user mauricio from 200.129.178.33 port 46544 ssh2
Failed password for invalid user lucas from 200.129.178.33 port 46556 ssh2
Invalid user mauricio from 200.129.178.33
Failed password for invalid user mauricio from 200.129.178.33 port 46594 ssh2
Invalid user mauricio from 200.129.178.33
Failed password for invalid user mauricio from 200.129.178.33 port 46672 ssh2
Invalid user mauricio from 200.129.178.33
Failed password for invalid user mauricio from 200.129.178.33 port 46756 ssh2
Invalid user mauricio from 200.129.178.33
Failed password for invalid user mauricio from 200.129.178.33 port 46835 ssh2
Invalid user mauricio from 200.129.178.33
Failed password for invalid user mauricio from 200.129.178.33 port 46875 ssh2
Invalid user mauricio from 200.129.178.33
Failed password for invalid user mauricio from 200.129.178.33 port 46997 ssh2
Invalid user mauricio from 200.129.178.33
Failed password for invalid user mauricio from 200.129.178.33 port 47053 ssh2
Invalid user edilson from 200.129.178.33
Failed password for invalid user edilson from 200.129.178.33 port 47264 ssh2
Invalid user edilson from 200.129.178.33
Failed password for invalid user edilson from 200.129.178.33 port 47311 ssh2
Invalid user edilson from 200.129.178.33
Failed password for invalid user edilson from 200.129.178.33 port 47403 ssh2
Invalid user edilson from 200.129.178.33
Failed password for invalid user edilson from 200.129.178.33 port 47493 ssh2
Invalid user edilson from 200.129.178.33
Failed password for invalid user edilson from 200.129.178.33 port 47548 ssh2
Invalid user edilson from 200.129.178.33
Failed password for invalid user edilson from 200.129.178.33 port 47596 ssh2
Invalid user edilson from 200.129.178.33
Failed password for invalid user edilson from 200.129.178.33 port 47643 ssh2
Invalid user edilson from 200.129.178.33
Failed password for invalid user edilson from 200.129.178.33 port 47687 ssh2
Invalid user edilson from 200.129.178.33
Failed password for invalid user edilson from 200.129.178.33 port 47729 ssh2
Invalid user edilson from 200.129.178.33
Failed password for invalid user edilson from 200.129.178.33 port 47795 ssh2
Invalid user edson from 200.129.178.33
Failed password for invalid user edson from 200.129.178.33 port 47851 ssh2
Invalid user edson from 200.129.178.33
Invalid user jorge from 200.129.178.33
Failed password for invalid user edson from 200.129.178.33 port 47905 ssh2
Failed password for invalid user jorge from 200.129.178.33 port 47886 ssh2
```

 
percebam que as portas vão subindo, ou seja, um script que ta fazendo issu.... o estranho que tem IP até do japão...estes logs são apenas de hj...
a lista de hj e 5 vezes maior do que esta que postei...

----------


## 1c3m4n

Se serve de consolo na minha maquina tb ta acontecendo isso diariamente, varias vezes ao dia

com ctz isso eh um script sim, mas as portas q vc falou q vao subindo sao as portas de origem, isso eh normal, cada nova conexao q ele fizer ele vai pegar uma porta, ecomo isso aparenta ser um script em loop com um dicionario de logins as portas parecem ser seguidas

o negocio eh botar um snort+guardian pra bloquear isso

----------


## Fabio_Laé

Uma dica para amenizar o seu transtorno(mas não resolver) é colocar o seu servidor ssh para escutar em outra porta diferente da padrão.

Melhor ainda se implementar honeypots no seu servidor dificultando ainda mais a identificação da sua porta e serviço real.

E não se esqueça é claro de reforçar as senhas (principalmente de usuários comuns(se houver)).

Boa Sorte,

Fabio Laé

----------


## sergio

> Uma dica para amenizar o seu transtorno(mas não resolver) é colocar o seu servidor ssh para escutar em outra porta diferente da padrão.
> 
> Melhor ainda se implementar honeypots no seu servidor dificultando ainda mais a identificação da sua porta e serviço real.
> 
> E não se esqueça é claro de reforçar as senhas (principalmente de usuários comuns(se houver)).
> 
> Boa Sorte,
> 
> Fabio Laé


Aqui fiz isso; mudei a porta padrao do ssh, alem disso o snort+guardian tah rodando... tah limpinho meu log agora...

----------


## MAJOR

sobe sua porta...

faz uns 8 meses, des de que encontrei isso aqui, que subi minha porta ssh:

http://www.frsirt.com/exploits/08202004.brutessh2.c.php

Admin's caso seja necessario, podem retirar o link sem problemas.

----------


## 1c3m4n

esse script ai num serve pra nada a num ser enxer o saco,
alias mudar a porta num muda muita coisa tb, pq se o cara conseguir passar um portscan na tua maquina e ver q tem outra porta aberta ele vai no script e altera a porta de conexao tb...

----------


## MAJOR

Sim, porem evita de você ser apenas mais um ip com a porta default....

 :Embarrassment: ops:

----------


## PiTsA

Bom, snort+guardian funciona muito bem, pena que o script do guardian nãot em sido atualizado desde 2003 ....  :Frown:  

mudar a porta só ira resolver para estes scripts que ficam fazendo brute force... o básico mesmo e tomar cuidado com senhas, nada de root na porta do ssh e estar semrpe atualizado...

----------


## 1c3m4n

A sei lah, isso eh meio de gosto, prefiro bloquear indevidamente alguem q tentou acessar meu server do q toda hora q eu for conectar no meu server ter q ficar especificando outra porta :P
Problema do otario q tentou brute-force  :Frown: 6)

----------


## MAJOR

HUAHUAHUAUHAUHhuahuaahu
Tá certo.
 :Big Grin:

----------


## 1c3m4n

Ae povo, jah q o guardian ta meio paradu, achei esse treco aki pra substituir ele: vo testar aki no obsd pra ver se eh bom mesmo :P

http://www.snortsam.net/index.html

----------


## ruyneto

Eu tava pensando em começar com o guardian mas acho que ja vou começar com esse snortsam, vlw ae e falows

----------


## Lion_Black

Uma ideia muito basica que não sei se vc colocou ...

nao permita login de root direto no ssh ... configure o ssh para permitir apenas login de users normais e configure esse user para apenas poder usar o comando su!

isso dificulta muito a invasão pelo ssh! 

e altere regularmente a senha desse user normal... eu ach oque com esse simples procedimento vc diminui muito as chances de um ataque por essa porta, ainda mais pq vc disse que esta acontecendo ataques de brutal!

----------


## fdotta

Pessoal,

Eu ja havia reportado este problema em algum post anterior a alguns meses. Meu FW sofre varios ataque diariamente. Uma coisa q eu fiz que ja ajuda bastante eh so permitir login remoto aos usuarios q realmente precisam, so isso ja evita e algume invada a maquina com algum usuario admistrativo. Pelo que pude reparar a maioria dos ataques sao de ip da asia e tb a maioria usa um softwares chamados Brutus ou Cain.

Outra coisa eu coloquei uns haneypots tb ta funcionando bem, so na tive tempo de colocar o snort. 

[] Dotta :twisted:

----------


## pilantrox

eu tbm estava sofrendo esse tipo de ataque diariamente ,,, agora estou analizando meus logs ,,, desde o dia onde modifiquei o arquivo hosts.denny e hosts.allow liberando o acesso aos servers aos ips que realmente precisam,naum tive mais nem vestigio nos logs.

----------

