#  > Geral >  > Segurança >  >  Invasão pelo SSH, aconteceu debian e conectiva.

## ShadowRed

Venho relatar dois acontecimentos de invasão pelo ssh no debian 4.0 testing e no conectiva 10 up.

Depois de alguns dias 26 dias ( fui verificar os linux ( gateway internet ) mas o engraçado ( pra não falar triste) , foi ver no historico de comando comandos dados e arquivos baixados. quando fui ver o log do sistema tinha tentativas de acesso no ssh a milhares e uma delas acessou. as senhas e usuarios dos dois sistema só tinha duas. senhas relativamente fortes com 10 digitos intercalados de letras e numeros.

O metodo foi o mesmo nos dois sistemas. o bom que era apenas gateway mesmo, mais nada. por isso não tinha firewall e nada.

Mas o que me intriga é o acesso pelo ssh com o usuario do sistema que tinha senha forte e depois o root que tinha uma senha de 12 digitos entre letras e numero.

Foi a primeira vez que me acontece isso entre 8 anos de uso de linux e freebsd. 

Procurei algo sobre falhas no ssh mas não achei. vai então o aviso para tomar cuidado.

Vou pegar os logs dos dois gatewayzinho e postar depois pra voces verem a tecnica de brutal force.

ate mais.

----------


## xandemartini

> Venho relatar dois acontecimentos de invasão pelo ssh no debian 4.0 testing e no conectiva 10 up.
> 
> Depois de alguns dias 26 dias ( fui verificar os linux ( gateway internet ) mas o engraçado ( pra não falar triste) , foi ver no historico de comando comandos dados e arquivos baixados. quando fui ver o log do sistema tinha tentativas de acesso no ssh a milhares e uma delas acessou. as senhas e usuarios dos dois sistema só tinha duas. senhas relativamente fortes com 10 digitos intercalados de letras e numeros.
> 
> O metodo foi o mesmo nos dois sistemas. o bom que era apenas gateway mesmo, mais nada. por isso não tinha firewall e nada.
> 
> Mas o que me intriga é o acesso pelo ssh com o usuario do sistema que tinha senha forte e depois o root que tinha uma senha de 12 digitos entre letras e numero.
> 
> Foi a primeira vez que me acontece isso entre 8 anos de uso de linux e freebsd. 
> ...


Eu tenho um server CL10 há uns 2 anos, com ssh habilitado.. É incrível nos logs a quantia de tentativas de acesso! Mas por enquanto ninguém conseguiu invadir... Vou dar uma olhada nessa questão, de repente até mudar o porta do ssh, sei lá... vou falar com o cara que me dá suporte, pq nesse server roda postfix, apache, dns e mysql... tem tudo do meu provedor hehehe.

----------


## amaia

Este tipo de problema eh uma tentativa de invasao por forca bruta, existem dois metodos para evitar isto, um deles eh configurar o servidor do ssh para aceitar login de usuario indicado, e numero de tentativas de acesso. Outra e criar uma chain para a porta 22, inicialmente com ACCEPT,criar um daemon para verificar os logs de acesso, no caso do debian eh o /var/log/auth, no caso do conectiva, /var/log/messages, e a partir das mensagens de erro de acesso do ssh, banir os ips da chain do ssh. O problema da segunda solucao eh que se o administrador tentar acessar a maquina e ele errar o usuario de conexao o proprio administrador fica bloqueado ate que a maquina seja reinicializada. Mais informacoes em:
SSH Blocking - blinkeye's wiki

----------


## ShadowRed

> Este tipo de problema eh uma tentativa de invasao por forca bruta, existem dois metodos para evitar isto, um deles eh configurar o servidor do ssh para aceitar login de usuario indicado, e numero de tentativas de acesso. Outra e criar uma chain para a porta 22, inicialmente com ACCEPT,criar um daemon para verificar os logs de acesso, no caso do debian eh o /var/log/auth, no caso do conectiva, /var/log/messages, e a partir das mensagens de erro de acesso do ssh, banir os ips da chain do ssh. O problema da segunda solucao eh que se o administrador tentar acessar a maquina e ele errar o usuario de conexao o proprio administrador fica bloqueado ate que a maquina seja reinicializada. Mais informacoes em:
> SSH Blocking - blinkeye's wiki


Nunca usei esta tecnica, uso bloquei no firewall para somente acesso com o ip desejado. Mas nos gatewayzinhos não tinha nada tava puro. Só postei pra tomarem cuidado com servers mesmo. 

Mas a opção de bloquei do firewall para ssh ou telnet por ips apenas Desejados . É muito boa nunca tive problemas em 7 anos de uso.

Mas vai o aviso, nunca deixe o server padrão e agora nem os gateway com ip dinamicos ou fixos esta ferramenta de brutal force passa mesmo, claro se ficar descuidado como os dois ficou 26 dias.


Até mais.

----------


## sergio

Caso precisem de um daemon pronto que varre os logs e geram as regras de bloqueio para tentativas de acesso ssh com período de validade das regras: Welcome to DenyHosts

----------


## alexandrecorrea

aqui eu bloqueio acesso ao ssh.. restringindo apenas aos meus ips (maquina da minha casa, trabalho etc etc)

e fiz um sistema em php que quando preciso acessar de um lugar NAO comum, acesso o site.. coloco uma senha.. coloco o ip que preciso acessar.. e ele adiciona no firewall...

 :Smile:

----------


## oicreal

Cara é simples, mas funcional...

Troca a porta do SSH, e nega pra root :-)

se é força bruta que te pegaro = Muleque

muelque trocou a cor do capim, morre de fome.

pode ser também que sua senha vazou, alguém viu tu digitar, ou um keyloger instalaod no teu terminal (windows se usar) que pegou quando tu digitou num putty da vida.

abraços

----------


## alexandrecorrea

simples e funcionao nao seria trocar a porta.... mas.. fazer a politica no firewall assim:



iptables -t filter -N SSH
iptables -t filter -A SSH -s 10.0.0.1 -j ACCEPT
iptables -t filter -A SSH -s 127.0.0.1 -j ACCEPT
iptables -t filter -A SSH -s 200.200.200.23 -j ACCEPT
iptables -t filter -A SSH -j DROP

iptables -t filter -I INPUT -p tcp --dport 22 -j SSH



fazendo isso.. vc apenas permite os ips ali listados a conectar no ssh.. para os outros.. nem a porta do ssh eles vao conseguir acessar !!!

eh o jeito mais seguro  :Smile:

----------

