#  > Geral >  > Segurança >  >  Ataque de scan no SSH

## Aquini

Boa tarde companheiros...

Venho por meio desta, alertar (ou pelo menos tentar) aos usuários sobre uma atividade que venho observando em alguns dos meus servers desde o final de setembro.
Comecei a perceber uma quantidade enorme de tentativas de logins via SSH em dois servidores que administro, vindos de endereços distintos dos quatro cantos do globo. (tentativas tão obstinadas que chegavam a sobrecarregar os hosts, degradando a suas performances durante os ataques)
Embora (aparentemente) nenhuma das tentativas tenha logrado êxito, geraram uma enorme dor de cabeça, prejudicando vários usuários dos serviços daqueles hosts.
É óbvio que reforcei meu perímetro, incrementanto regras no snort, restringindo mais as políticas de logins nos servers, analisando os reports do tripware (atitudes reativas normais) e é claro, tentei descobrir por alto de onde partiam tais ataques... Eis a minha lista:
[list]64.29.19.145 - nerjaweb - Espanha 
61.237.240.19 - China RailWay Telecomm - Pequim
61.221.182.173 - unalis.com.tw
61.100.185.202 - GNC-IDC Enterprisenet - SEOUL - KOREA
212.14.253.236 - Palestine Telecomm - Palestina
203.95.1.22 - STN-CN - Shangai - China
64.109.111.229 - ameritech.net - dsl ISP - USA
66.88.13.142 - unknow address[/list:u]

China, Korea, Taywan, USA, Espanha, Palestina... todos de provedores dsl, ou de grandes corporações...

Verifiquem também seus hosts... 

vejam um extrato dos meus logs:


```
Sep 28 18:10:15 abutre sshd[3222]: Illegal user test from 61.221.182.173
Sep 28 18:10:18 abutre sshd[3224]: Illegal user guest from 61.221.182.173
Sep 28 18:10:25 abutre sshd[3226]: Illegal user admin from 61.221.182.173
Sep 28 18:10:28 abutre sshd[3228]: Illegal user admin from 61.221.182.173
Sep 28 18:10:31 abutre sshd[3230]: Illegal user user from 61.221.182.173
Sep 28 18:10:37 abutre sshd[3232]: Failed password for root from 61.221.182.173 port 61255 ssh2
Sep 28 18:10:42 abutre sshd[3234]: Failed password for root from 61.221.182.173 port 60059 ssh2
Sep 28 18:10:51 abutre sshd[3236]: Failed password for root from 61.221.182.173 port 57343 ssh2
```

 
T+

----------


## fdotta

Cara estou tendo e mesmo problema

user: test,tester,nini, brooke,bill,jim,cody,sales,personal,billy,josh,life
origens: korea, czechoslovakia, china, brasil...
alguns ip: 128.30.92.49, 203.193.14.26,63.105.206.197

o ip 128.30.92.49 é do MIT (viper.csail.mit.edu)

To comecando a ficar preocupando... Vc tem alguma ideio o q é isso???

[] Dotta :twisted:

----------


## epf

como que eu faco para ver esses logs de tentativas de conexao?

----------

tail -f /var/log/messages | grep sshd

----------


## gustavo_marcon

Pessoal, vou dar um chute.  :Big Grin:  

Como podem notar os caras tentaram vários usernames pra tentarem entrar, o que pode ser um ataque de Brute Force, feito por algum software que pega uma lista de caracteres, números e letras e vai tentando logar uma a uma até conseguir descobrir a correta.

----------


## slice

> como que eu faco para ver esses logs de tentativas de conexao?


cat /var/log/messages

e se quiser ficar vendo em 'real time' o que está acontecendo, use tail -f /var/log/messages | grep ssh

vc também pode usar isso para ver outras coisas, basta mudar o parametro ssh...

flw!

Slice

----------


## fdotta

epf,

na verdade era melhor vc olhar o arquivo secure em vez do message...

[] Dotta :twisted:

----------


## fdotta

Realmente parece ateque tipo forca bruta... nos ultimos 7 dias sofri umas 500 tentativas. Alguen sabe como fazer o sshd colocar no log as senhas que estao sendo utilizadas para este ataques isso seria bastante util...

[] Dotta :twisted:

----------


## fdotta

alguem sabe tb como colocar uma lista de usuarios proibidos no sshd???

[] Dotta :twisted:

----------


## slice

> epf,
> 
> na verdade era melhor vc olhar o arquivo secure em vez do message...
> 
> [] Dotta :twisted:


ei, tentei várias conexões via ssh (erradas é claro) no meu pc, mas ele não acusou nada no arquivo /var/log/secure... ele só mostra as conexões diretas no terminal, seja ela user ou su... também mostra os users que são criados no sistema...

tenho que configurar alguma coisa para ele mostrar isso???


[]'s

Slice

----------

usem o portsentry para analizar algumas portas, inclusive a 22, caso o atacante tente uma vez, na proxima ele nao vai conseguir pois o portsentry ira bloquea-lo.

----------


## fdotta

slice, 

para vc ter o log vc deve colocar no seu sshd_conf as linhas:

SyslogFacility AUTHPRIV
LogLevel VERBOSE

o VERBOSE é mo mais simple do logs do sshd, vc pode user DEBUG1, DEBUG2, DEBUG3, QUIET, FATAL, ERROR, INFO

[] Dotta :twisted:

----------


## Aquini

Com certeza é um scan que testa usuários padrão, e por força bruta tenta acertar as senhas...

para garantir que o sshd não permita que outras contas do sistema possam efetuar login, adicionem uma lista de usuários que poderão logar no host através da diretiva AllowUsers <user1 user2 ... userN> no arquivo de conf do daemon (/etc/ssh/sshd_config)

O pepino fica por conta de estes lammers estarem praticamente gerando um DDoS nos servers... daí só se resolve com o portsentry ou snort+guardian, ou simplesmente criar uma chain no iptables e dropar todos os IP que atacarem...

É dose, hein...

T+

----------


## Aquini

Além de medidas pró-ativas, e talvez reativas, também devemos informar (ou pelo menos tentar) os responsáveis por tais redes, para que eles possam tomar medidas legais nos seus respectivos países...

T+

----------


## MAJOR

Tenho o codigo desse brute force.


Cuidado, ele realmente funciona, porem depende de uma lista de user e senhas....

sux alot.

script kids na area.
fica ligado e mude sua senha para algo em torno de 8 caracteres.

Abracos


MAJOR
:wink:

----------


## MAJOR

Aquini, naõ existem meios legais para acusar tal ato.


=[


Nosso pais tem que criar ou mesmo rever Leis para a internet.

Este caso seria a mesma coisa que alguem tentando abrir a fechadura desua sala no escritorio, enquanto ele nao conseguir entrar, nao temmuito oq ser feito, a nao ser "trocar" a fechadura.


abracos

----------


## Aquini

> Aquini, naõ existem meios legais para acusar tal ato.
> 
> 
> =[
> 
> 
> Nosso pais tem que criar ou mesmo rever Leis para a internet.
> 
> Este caso seria a mesma coisa que alguem tentando abrir a fechadura desua sala no escritorio, enquanto ele nao conseguir entrar, nao temmuito oq ser feito, a nao ser "trocar" a fechadura.
> ...


Aqui no BR não tem mesmo, e se por exemplo tentássemos levar um caso similar à nossas autoridades com certeza não poderiam fazer muita coisa por motivos diplomáticos que estão fora da nossa alçada...

Mas em vários países já existem legislações específicas para "contravenções digitais" e também as grandes empresas e ISPs têm políticas bem rígidas, de forma que podem impor punições aos usuários que estiverem "abusando" de seus recursos.

É óbvio que não pode ser feito "muita coisa" mas se cada um de nós executar um pequenino esforço, no final da conta teremos uma enorme "força bruta"

Blz!!

[]s

----------


## slice

valeu Dotta!

no meu server (Debian) o arquivo que ele manda os log's do sshd é /var/log/auth.log por isso que eu não estava achando  :Smile: 

no slack são o /var/log/secure e no /var/log/messages msm...

flw

----------


## Aquini

Boa noite companheiros....

Existe mais uma configuração, que minimiza os efeitos destes ataques...
Setando a diretiva "VerifyReverseMapping" para "yes" no arquivo de conf do daemon do ssh (/etc/ssh/sshd_config) ativamos o suporte para o TCP Wrappers (tcpd), com isso podemos filtrar os hosts que terão acesso ao servidor através dos arquivos /etc/hosts.allow e /etc/hosts.deny

Com certeza este passo pode não acabar de vez com os ataques, mas reduz consideravelmente o universo de possíveis ...

T+

----------


## barata_branca

kramba.. se depender de senhas eu to bem.. huahuauuaua... a minha minima tem 21 caracteres... eu tinha uma que era assim : "sabe,euseiqueopansexualismoealgoridiculomasoviciopelopcmedeixalouco"
uhahauauhahuauhah
FLW!!!

----------

Oct 11 09:17:30 servidor sshd[4720]: Did not receive identification string from 80.53.84.18
Oct 11 09:34:18 servidor sshd[4723]: Failed password for nobody from 80.53.84.18 port 26334 ssh2
Oct 11 09:34:21 servidor sshd[4725]: Illegal user patrick from 80.53.84.18
Oct 11 09:34:24 servidor sshd[4727]: Illegal user patrick from 80.53.84.18
Oct 11 09:34:26 servidor sshd[4729]: Failed password for root from 80.53.84.18 port 26450 ssh2
Oct 11 09:34:29 servidor sshd[4731]: Failed password for root from 80.53.84.18 port 26479 ssh2
Oct 11 09:34:32 servidor sshd[4733]: Failed password for root from 80.53.84.18 port 26524 ssh2
Oct 11 09:34:35 servidor sshd[4735]: Failed password for root from 80.53.84.18 port 26558 ssh2
Oct 11 09:34:37 servidor sshd[4737]: Failed password for root from 80.53.84.18 port 26598 ssh2
Oct 11 09:34:40 servidor sshd[4739]: Illegal user rolo from 80.53.84.18
Oct 11 09:34:43 servidor sshd[4741]: Illegal user iceuser from 80.53.84.18
Oct 11 09:34:46 servidor sshd[4743]: Illegal user horde from 80.53.84.18
Oct 11 09:34:48 servidor sshd[4745]: Illegal user cyrus from 80.53.84.18
Oct 11 09:34:51 servidor sshd[4747]: Illegal user www from 80.53.84.18
Oct 11 09:34:54 servidor sshd[4749]: Illegal user wwwrun from 80.53.84.18
Oct 11 09:34:57 servidor sshd[4751]: Illegal user matt from 80.53.84.18
Oct 11 09:34:59 servidor sshd[4753]: Illegal user test from 80.53.84.18
Oct 11 09:35:02 servidor sshd[4755]: Illegal user test from 80.53.84.18
Oct 11 09:35:05 servidor sshd[4757]: Illegal user test from 80.53.84.18
Oct 11 09:35:08 servidor sshd[4759]: Illegal user test from 80.53.84.18
Oct 11 09:35:11 servidor sshd[4761]: Illegal user www-data from 80.53.84.18
Oct 11 09:35:13 servidor sshd[4763]: Failed password for mysql from 80.53.84.18 port 27107 ssh2
Oct 11 09:35:16 servidor sshd[4765]: Failed password for operator from 80.53.84.18 port 27148 ssh2
Oct 11 09:35:19 servidor sshd[4767]: Failed password for adm from 80.53.84.18 port 27189 ssh2
Oct 11 09:35:22 servidor sshd[4769]: Illegal user apache from 80.53.84.18
Oct 11 09:35:24 servidor sshd[4771]: Illegal user irc from 80.53.84.18
Oct 11 09:35:27 servidor sshd[4773]: Illegal user irc from 80.53.84.18
Oct 11 09:35:30 servidor sshd[4775]: Failed password for adm from 80.53.84.18 port 27345 ssh2
Oct 11 09:35:33 servidor sshd[4777]: Failed password for root from 80.53.84.18 port 27383 ssh2
Oct 11 09:35:35 servidor sshd[4779]: Failed password for root from 80.53.84.18 port 27425 ssh2
Oct 11 09:35:38 servidor sshd[4781]: Failed password for root from 80.53.84.18 port 27461 ssh2
Oct 11 09:35:41 servidor sshd[4783]: Illegal user jane from 80.53.84.18
Oct 11 09:35:44 servidor sshd[4785]: Illegal user pamela from 80.53.84.18
Oct 11 09:35:46 servidor sshd[4787]: Failed password for root from 80.53.84.18 port 27579 ssh2
Oct 11 09:35:49 servidor sshd[4789]: Failed password for root from 80.53.84.18 port 27618 ssh2
Oct 11 09:35:52 servidor sshd[4791]: Failed password for root from 80.53.84.18 port 27658 ssh2
Oct 11 09:35:55 servidor sshd[4793]: Failed password for root from 80.53.84.18 port 27696 ssh2
Oct 11 09:35:58 servidor sshd[4795]: Failed password for root from 80.53.84.18 port 27733 ssh2
Oct 11 09:36:00 servidor sshd[4797]: Illegal user cosmin from 80.53.84.18
Oct 11 09:36:03 servidor sshd[4799]: Failed password for root from 80.53.84.18 port 27812 ssh2
Oct 11 09:36:06 servidor sshd[4801]: Failed password for root from 80.53.84.18 port 27855 ssh2
Oct 11 09:36:09 servidor sshd[4803]: Failed password for root from 80.53.84.18 port 27892 ssh2
Oct 11 09:36:11 servidor sshd[4805]: Failed password for root from 80.53.84.18 port 27938 ssh2
Oct 11 09:36:14 servidor sshd[4807]: Failed password for root from 80.53.84.18 port 27974 ssh2
Oct 11 09:36:17 servidor sshd[4809]: Failed password for root from 80.53.84.18 port 28020 ssh2
Oct 11 09:36:20 servidor sshd[4811]: Failed password for root from 80.53.84.18 port 28060 ssh2
Oct 11 09:36:22 servidor sshd[4813]: Failed password for root from 80.53.84.18 port 28101 ssh2
Oct 11 09:36:25 servidor sshd[4815]: Failed password for root from 80.53.84.18 port 28141 ssh2
Oct 11 09:36:28 servidor sshd[4817]: Failed password for root from 80.53.84.18 port 28177 ssh2
Oct 11 09:36:31 servidor sshd[4819]: Failed password for root from 80.53.84.18 port 28219 ssh2
Oct 11 09:36:33 servidor sshd[4821]: Failed password for root from 80.53.84.18 port 28255 ssh2
Oct 11 09:36:36 servidor sshd[4823]: Failed password for root from 80.53.84.18 port 28296 ssh2
Oct 11 09:36:39 servidor sshd[4825]: Failed password for root from 80.53.84.18 port 28337 ssh2
Oct 11 09:36:42 servidor sshd[4827]: Failed password for root from 80.53.84.18 port 28374 ssh2
Oct 11 09:36:45 servidor sshd[4829]: Failed password for root from 80.53.84.18 port 28416 ssh2
Oct 11 09:36:47 servidor sshd[4831]: Failed password for root from 80.53.84.18 port 28457 ssh2
Oct 11 09:36:50 servidor sshd[4833]: Failed password for root from 80.53.84.18 port 28496 ssh2
Oct 11 09:36:53 servidor sshd[4835]: Failed password for root from 80.53.84.18 port 28539 ssh2
Oct 11 09:36:56 servidor sshd[4837]: Failed password for root from 80.53.84.18 port 28578 ssh2
Oct 11 09:36:58 servidor sshd[4839]: Failed password for root from 80.53.84.18 port 28619 ssh2
Oct 11 09:37:01 servidor sshd[4841]: Failed password for root from 80.53.84.18 port 28660 ssh2
Oct 11 09:37:04 servidor sshd[4843]: Failed password for root from 80.53.84.18 port 28696 ssh2
Oct 11 09:37:07 servidor sshd[4845]: Failed password for root from 80.53.84.18 port 28737 ssh2
Oct 11 09:37:09 servidor sshd[4847]: Failed password for root from 80.53.84.18 port 28776 ssh2
Oct 11 09:37:12 servidor sshd[4849]: Failed password for root from 80.53.84.18 port 28816 ssh2
Oct 11 09:37:15 servidor sshd[4851]: Failed password for root from 80.53.84.18 port 28857 ssh2
Oct 11 09:37:18 servidor sshd[4853]: Failed password for root from 80.53.84.18 port 28901 ssh2
Oct 11 09:37:20 servidor sshd[4855]: Failed password for root from 80.53.84.18 port 28941 ssh2
Oct 11 09:37:23 servidor sshd[4857]: Failed password for root from 80.53.84.18 port 28980 ssh2
Oct 11 09:37:26 servidor sshd[4859]: Failed password for root from 80.53.84.18 port 29023 ssh2
Oct 11 09:37:29 servidor sshd[4861]: Failed password for root from 80.53.84.18 port 29064 ssh2
Oct 11 09:37:31 servidor sshd[4863]: Failed password for root from 80.53.84.18 port 29112 ssh2
Oct 11 09:37:34 servidor sshd[4865]: Failed password for root from 80.53.84.18 port 29151 ssh2
Oct 11 09:37:37 servidor sshd[4867]: Failed password for root from 80.53.84.18 port 29198 ssh2
Oct 11 09:37:40 servidor sshd[4869]: Failed password for root from 80.53.84.18 port 29237 ssh2
Oct 11 09:37:43 servidor sshd[4871]: Illegal user cip52 from 80.53.84.18
Oct 11 09:37:45 servidor sshd[4873]: Illegal user cip51 from 80.53.84.18
Oct 11 09:37:48 servidor sshd[4875]: Failed password for root from 80.53.84.18 port 29370 ssh2
Oct 11 09:37:51 servidor sshd[4877]: Illegal user noc from 80.53.84.18
Oct 11 09:37:54 servidor sshd[4879]: Failed password for root from 80.53.84.18 port 29454 ssh2
Oct 11 09:37:56 servidor sshd[4881]: Failed password for root from 80.53.84.18 port 29494 ssh2
Oct 11 09:37:59 servidor sshd[4883]: Failed password for root from 80.53.84.18 port 29542 ssh2
Oct 11 09:38:02 servidor sshd[4885]: Failed password for root from 80.53.84.18 port 29576 ssh2
Oct 11 09:38:05 servidor sshd[4887]: Illegal user webmaster from 80.53.84.18
Oct 11 09:38:07 servidor sshd[4889]: Illegal user data from 80.53.84.18
Oct 11 09:38:10 servidor sshd[4891]: Illegal user user from 80.53.84.18
Oct 11 09:38:13 servidor sshd[4893]: Illegal user user from 80.53.84.18
Oct 11 09:38:16 servidor sshd[4895]: Illegal user user from 80.53.84.18
Oct 11 09:38:18 servidor sshd[4897]: Illegal user web from 80.53.84.18
Oct 11 09:38:21 servidor sshd[4899]: Illegal user web from 80.53.84.18
Oct 11 09:38:24 servidor sshd[4901]: Illegal user oracle from 80.53.84.18
Oct 11 09:38:27 servidor sshd[4903]: Illegal user sybase from 80.53.84.18
Oct 11 09:38:30 servidor sshd[4905]: Illegal user master from 80.53.84.18
Oct 11 09:38:32 servidor sshd[4907]: Illegal user account from 80.53.84.18
Oct 11 09:38:35 servidor sshd[4909]: Illegal user backup from 80.53.84.18
Oct 11 09:38:38 servidor sshd[4911]: Illegal user server from 80.53.84.18
Oct 11 09:38:41 servidor sshd[4913]: Illegal user adam from 80.53.84.18
Oct 11 09:38:43 servidor sshd[4915]: Illegal user alan from 80.53.84.18
Oct 11 09:38:46 servidor sshd[4917]: Illegal user frank from 80.53.84.18
Oct 11 09:38:49 servidor sshd[4919]: Illegal user george from 80.53.84.18
Oct 11 09:38:52 servidor sshd[4921]: Illegal user henry from 80.53.84.18
Oct 11 09:38:55 servidor sshd[4923]: Illegal user john from 80.53.84.18
Oct 11 09:38:57 servidor sshd[4925]: Failed password for root from 80.53.84.18 port 1430 ssh2
Oct 11 09:39:00 servidor sshd[4927]: Failed password for root from 80.53.84.18 port 1476 ssh2
Oct 11 09:39:03 servidor sshd[4929]: Failed password for root from 80.53.84.18 port 1513 ssh2
Oct 11 09:39:06 servidor sshd[4931]: Failed password for root from 80.53.84.18 port 1556 ssh2
Oct 11 09:39:09 servidor sshd[4933]: Failed password for root from 80.53.84.18 port 1594 ssh2
Oct 11 09:39:12 servidor sshd[4935]: Illegal user test from 80.53.84.18

olha só as inumeras tentativas..impressioante mesmo

----------


## wrochal

Amigos,

Vou dar alguma dicas que aconselho.

1. Mude a porta do ssh, por exemplo 9022
/etc/ssh/sshd_config

2. crie regra do iptables permitindo apenas o host que possa conectar

iptables -A INPUT -s IP -p tcp --dport 9022 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 9022 -j DROP

3. Foi algo que fiz e achei interessante usar o poptop, aonde você conectar via protocolo pptp no linux e depois conectar via ssh, e claro permitir conexão do ssh apenas nos ips da VPN.

4. Use o Portsentry para bloquear esses scans.

Falou,

----------


## GrayFox

o bom seria colocar no firewall para negar a porta 22 para ips fora da classe 200.0.0.0/8, 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/16

coisa do genero...
ah.. filtro de icmp ajuda bastante!

----------


## whinstonrodrigues

Vcs vão me xingar, pq isto ranca muito mobilidade de vcs.. Mas eu largo o meu SSH fechadinho por iptables (22), só deixando liberado para IPs confiáveis, internos e externos.

----------


## estanisgeyer

O que também dá para fazer é mudar o sistema de autenticação através do PAM, trabalhando com o módulo PAM_TALLY, que conta o número de acessos fracassados e há a possibilidade de desabilitar o serviço para a origem por determinado tempo.

----------


## nikolas

e onde poderia colocar no servidor para somente determinandos ip's fazer SSH no meu servidor?

[]'s

----------


## slice

> e onde poderia colocar no servidor para somente determinandos ip's fazer SSH no meu servidor?
> 
> []'s


iptables -A INPUT -p tcp -s ip_amigo -d seu_ip -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d seu_ip -j DROP

----------

se a senha conter caracteres especiais ([email protected]#$.()-) fica muito mais dificil conseguir acesso a combinacao alpha-numerica com char especial gera uma combinacao muito vasta pros ataques brute force... o ataque pode demorar dias, semanas ate meses pra tentar todas as senhas possiveis

----------


## nikolas

Obrigado amigo, aproveitando tenho uma classe de IP's tipo 192.168.0.0/29 que preciso colocar o MAC referente a cada IP permitido que fique casado para puder funcionar.

Como que fica no "iptables"?

[]'s

----------


## PedroNasc

Cara..... Alguem conhece algum desses softwares de "brute force",
??????????/

----------


## Aquini

Dá uma "googlada" q vc vai achar quilos destas porcarias

T+

----------


## pitanga

Para efetuarem Penetration test em suas redes...

Hacking Ético acima de tudo.

http://www.k-otik.com/exploits/08202004.brutessh2.c.php

[]´s

Marcos Pitanga

----------


## DropALL

Isso só acontece em servidores com a porta padrão SSH sendo 22...
Nos meus servidores mudei a porta padrão, coloquei portsentry e configurei no iptables para só permitir tentativa de conexão na nova porta que setei se for algum IP da faixa 200.0.0.0/8 ou 201.0.0.0/8, o resto DROP nele! Policy DROP  :Smile:  que são faixas brasileiras que eu tenho conhecimento de já ter acessado remotamente deles.

----------


## black_burn

Nossa, a dois dias eu venho virificando essas tentativas de acesso via SSH e pensei que era so no meu server, que eh caseiro naum tem nada de divulgado na net e nada...

como vcs falaram tem varios lugares daonde vem essas tentativas, como users Jonhn, patrick e coisa do tipo...

to monitorando diariamente os log do ssh e alterei a senha do root para uma mais incrementada  :Big Grin: 

mas axo que vo segui uma diga que li nos post anteriores...

vo mudar a porta do ssh, isso talvez realmente ajude  :Big Grin: 


[]'s

----------


## jweyrich

Se vocês não precisam acesso externo, fora do país, bloqueiem tudo que vier de classes diferentes de 200.* e 201.*
Ou então, alterem a porta do sshd.
E para reforçar um pouco mais, façam uma regrinha no ssh, para permitir apenas 3 tentativas de login por ip, após isto, o firewall dará DROP em todas conexões do host na porta do sshd.

Abraços

----------


## mario

Bem, para quem nao acompanha as listas de segurança deve começar a faze-lo, o cert e a rnp já anunciaram esse ataque a muito tempo atraz venho sofrendo esse tipo de ataque a pelos menos uns 3 meses, mas até hoje ninquem conseguiu comprometer o sistema ate mesmo porque o sistema de força bruta hoje em dia é complicado de se conseguir acesso.

Mas vai uma dica para todos, desative o suporte a root no ssh, assim se alguem conseguir comprometer seu sistema so fara acesso a uma simples conta de usuário.

----------


## DropALL

hehe, nego copiou minhas palavras :P

Bem, tem mais coisa pra incrementar, alem de permitir apenas acesso as faixas 200.0.0.0/8 e 201.0.0.0/8, mudar a porta do sshd e colocar potsentry. Vamos vamos paranoiar um pouco?

Também pode configurar para barrar acesso direto ao root no sshd_config com o parametro:
PermitRootLogin no

Crie um usuario que voce quer acessar remoto o SSH (ex.: ze_mane)
Incremente o sshd_config com:
AllowUsers ze_mane

e edite o /etc/passd, e no usuario ze_mane troque /bin/bash, por um script que rode o "su - root", ex.: /bin/apenas-su (com isso depois de logar CASO ele consiga, não terá um shell, e sim apenas a tela pedindo a senha do root)

agora edite o arquivo "/etc/pam.d/su" e descomente a seguinte linha:
auth required /lib/security/$ISA/pam_wheel.so use_uid

- crie um grupo chamado wheel, e coloque APENAS o ze_mane dentro (com isso, apenas o usuario ze_mane terá direito a dar "su" para root)
- tenha certeza que passwd, shadow, groups estejam como 500...e blabla, acho que assim complica muito a vida de alguem que tentar acessar de fora...
- ainda se for o caso, quer complicar mais, vai que sair um exploit louco pro cara conseguir logar com o ze_mane e nao rodar o "apenas-su", ative quota, e diga que esse usuario so tem 1 kbyte de quota e so pode ter 1 arquivo no sistema, entao em algum diretorio qualquer com permissao 700 (owner: root) crie um arquivo assim:
dd if=/dev/zero of=ze.txt count=2
e sete o como dono o usuario ze_mane, dessa forma ele mesmo que por um MILAGRE tenha acesso ao bash, ele nao vai poder criar ou copiar nenhum programa besta para teu servidor... 
eita, acho que exagerei....

----------


## jweyrich

> Bem, para quem nao acompanha as listas de segurança deve começar a faze-lo, o cert e a rnp já anunciaram esse ataque a muito tempo atraz venho sofrendo esse tipo de ataque a pelos menos uns 3 meses, mas até hoje ninquem conseguiu comprometer o sistema ate mesmo porque o sistema de força bruta hoje em dia é complicado de se conseguir acesso.
> 
> Mas vai uma dica para todos, desative o suporte a root no ssh, assim se alguem conseguir comprometer seu sistema so fara acesso a uma simples conta de usuário.


Mário, uma vez dentro do sistema, um atacante tem muito mais chances de conseguir se tornar root. Se quiser fazer o teste, libera uma conta de usuário ai pra não perdermos tempo com blábláblá. hehhehe
Não leva a mal não, só estou comentando.




> hehe, nego copiou minhas palavras


haha, eu estou trabalhando, nao li todas as paginas, li a primeira e o resto so passei por cima, e fui direto postar... agora que vi o que voce escreveu DropALL, desculpe hehe.

Abraços

----------


## Bravo

Amigos...eu tambem ando notando isso nos meus servidores, eu ate pensei que tinha algum daemon rodando...mas nao achei nada.... ate pensei que ja estava invadido. os ips sao da china, russia, coreia.

----------

