Como intimidar invasão?

Dando uma olhada nos "LOGs" do meu sistema (cliente/empresa), percebi que de uns dias para cá estão ocorrendo tentativas MACIÇAS de invasão. Teria algo que eu pudesse fazer para reduzir, intimidar ou até mesmo gerar um contra-ataque (para afugenta) para essas tentativas, pois isso está me deixando muito APAVORADO.

Muito obrigado e aguardo qualquer orientação.

mas que tipos de ateques sao esses?
vindos de apenas um host? varios?
detalhe melhor isso ae um pouco...

coloca uma regra no firewall dropando o trafego desse(s) host(s) na sua rede, TALVEZ dependendo de como o ataque esta sendo originado isso resolve.

Citação:

---

Postado originalmente por Patrick

mas que tipos de ateques sao esses?
vindos de apenas um host? varios?
detalhe melhor isso ae um pouco...

coloca uma regra no firewall dropando o trafego desse(s) host(s) na sua rede, TALVEZ dependendo de como o ataque esta sendo originado isso resolve.

---

Ele fica tentando via SSH consecutivamente, daí fica trocando de porta. São diversos hosts.

Obrigado.

Colega, não vale a pena tentar intimidar esses ataques, pois eles sao feitos por bots que estão em busca de novas maquinas para comprometer e juntar ao exercito...
como vc deve imaginar, um pequeno script em perl (bot) não terá medo do que vc fizer aí, uma vez que ele nem sabe ler...
o que voce pode fazer é instalar um software que se chama "sshdfilter" ele tratará do assunto sem problemas
Um abraço[]

Citação:

---

Postado originalmente por The-shadow

Colega, não vale a pena tentar intimidar esses ataques, pois eles sao feitos por bots que estão em busca de novas maquinas para comprometer e juntar ao exercito...
como vc deve imaginar, um pequeno script em perl (bot) não terá medo do que vc fizer aí, uma vez que ele nem sabe ler...
o que voce pode fazer é instalar um software que se chama "sshdfilter" ele tratará do assunto sem problemas
Um abraço[]

---

OK!

E obrigado pela dica do "sshdfilter".

Ola galera, no meu servidor atual eu trabalho com APF, ele fica monitorando os logs tanto de ssh qnto de ftp, email ao detectar x tentativas erronias ele bloqueia o ip de origem, o tempo de verificaçao voce define do cronta, no geral se coloca 2 minutos.

Como o pessoal já disse, não adianta tentar intimidar :-(
Eu simplesmente mudei a porta padrão p/ uma porta alta (acima de 49152). Acabou-se o problema, pelo menos por enquanto.
Outra opção é fechar o acesso SSH normal e usar o JTA <http://javassh.org>, com a vantagem que não vai mais precisar do cliente SSH, apenas um navegador com Java.

mais simples ainda eh fazer uma regra assim:

iptables -N SSH
iptables -I INPUT -p tcp --dport 22 -j SSH
iptables -A SSH -s seu.ip -j ACCEPT
iptables -A SSH -s mais.algum.ip -j ACCEPT
iptables -A SSH -j DROP

fazendo isso.. permitirá somente os ips que vc cadastrar na chain SSH !!!

Citação:

---

Postado originalmente por Alexandre Correa

mais simples ainda eh fazer uma regra assim:

iptables -N SSH
iptables -I INPUT -p tcp --dport 22 -j SSH
iptables -A SSH -s seu.ip -j ACCEPT
iptables -A SSH -s mais.algum.ip -j ACCEPT
iptables -A SSH -j DROP

fazendo isso.. permitirá somente os ips que vc cadastrar na chain SSH !!!

---

Isto e bom somente par aquem tem ip fixo, a maioria de quem faz acesso possui ip dinamico, muda a cada conexao, se isso ocorre babaus conexao :)

Concordo com spectrom. Eu. por exemplo, preciso acessar os servidores de qualquer lugar, via ADSL, dial-up, wireless, etc., e muitos deles, como o meu próprio. usa IP dinâmico.

Sinceramente algumas coisas:


Port 12921
LoginGraceTime 10s == 10 segundos para digita a senha
PermitRootLogin no === O rooot nem a pau
MaxAuthTries 1 == 1 tentativa por conexao

Alem disso

iptables -t filter -A INPUT -p tcp --dort 12921 -j LOG --log-level 7 --log-prefix "ACESSO AO sshd"

iSSO JA RESOLVE 99,9% dos seus problemas

Citação:

---

Postado originalmente por wps

Sinceramente algumas coisas:


Port 12921
LoginGraceTime 10s == 10 segundos para digita a senha
PermitRootLogin no === O rooot nem a pau
MaxAuthTries 1 == 1 tentativa por conexao

Alem disso

iptables -t filter -A INPUT -p tcp --dort 12921 -j LOG --log-level 7 --log-prefix "ACESSO AO sshd"

iSSO JA RESOLVE 99,9% dos seus problemas

---

Beleza! mas me fale pra que serve o "--log-level 7" e resto eu sei pra que serve.

Obrigado e aguardo retorno.

grava os logs do iptables em nivel debug ou extremamente verboso para vc poder fazer uma analise total do pacote lembre que ele ficaram em /var/log/debug

Fala Aprendiz!

Que distribuição você está utilizando?
Tive esse tipo de problema com o Conectiva 10 e não consegui chegar a uma conclusão se é problema de vulnerabilidade da prórpia distro ou do ssh que acompanha a distribuição...
Lembrando que você pode aumenter o nível de segurança configurando corretamente o SSH server...


Gaiotto

Citação:

---

Postado originalmente por capgaiotto

Fala Aprendiz!

Que distribuição você está utilizando?
Tive esse tipo de problema com o Conectiva 10 e não consegui chegar a uma conclusão se é problema de vulnerabilidade da prórpia distro ou do ssh que acompanha a distribuição...
Lembrando que você pode aumenter o nível de segurança configurando corretamente o SSH server...


Gaiotto

---

Fala capgaiotto,

atualmente estou utilizando (preferencialmente) Debian 3.1 e tenho alguma coisa de Conectiva Linux 10/9/8 instalado por aí...

Obrigado pela atenção.

Pessoal, realmente os ataques contra o serviço SSH são um problema constante e que, na maioria dos casos, chega a tirar o sono de alguns sysadmin.
Meu caso:
Tenho alguns clientes e também administro um provedor de internet. Através de uma máquina em casa ligada 24H, a qual permite acesso SSH de qualquer lugar, bem protegida e logando todo e qualquer tipo de conexão, fechei os servidores de meus clientes de forma a somente aceitarem conexão SSH oriundas dessa minha máquina de casa. Cada servidor/firewall de cliente tem uma conta de acesso (login) diferente; a senha nunca é a mesma, as portas do SSH não são as mesmas (de jeito nenhum a 22), de forma que, mesmo que meu firewall de casa seja invadido, ele não compromete a segurança dos outros firewalls. Não tenho nenhum "arquivinho" com informações dos outros servers no meu firewall. Monitoro os logs diariamente; amo o SNORT e idolatro o PORTSENTRY...
Acredito que dessa forma posso TENTAR dormir mais tranquilo as 3:30 da manhã...
Todas as dicas aqui são excelentes. Tente juntá-las pra tornar o seu sistema o mais seguro possível, e lembre-se que nenhum sistema é 100% infalível... :roll:
Atenciosamente,

Sadi.

Citação:

---

Postado originalmente por sadirj

Pessoal, realmente os ataques contra o serviço SSH são um problema constante e que, na maioria dos casos, chega a tirar o sono de alguns sysadmin.
Meu caso:
Tenho alguns clientes e também administro um provedor de internet. Através de uma máquina em casa ligada 24H, a qual permite acesso SSH de qualquer lugar, bem protegida e logando todo e qualquer tipo de conexão, fechei os servidores de meus clientes de forma a somente aceitarem conexão SSH oriundas dessa minha máquina de casa. Cada servidor/firewall de cliente tem uma conta de acesso (login) diferente; a senha nunca é a mesma, as portas do SSH não são as mesmas (de jeito nenhum a 22), de forma que, mesmo que meu firewall de casa seja invadido, ele não compromete a segurança dos outros firewalls. Não tenho nenhum "arquivinho" com informações dos outros servers no meu firewall. Monitoro os logs diariamente; amo o SNORT e idolatro o PORTSENTRY...
Acredito que dessa forma posso TENTAR dormir mais tranquilo as 3:30 da manhã...
Todas as dicas aqui são excelentes. Tente juntá-las pra tornar o seu sistema o mais seguro possível, e lembre-se que nenhum sistema é 100% infalível... :roll:
Atenciosamente,

Sadi.

---

Sadi,

valeu pela sua orientação. Vou ver o que posso fazer mediante o q você me passou.

Obrigado e aquele abraço.