-
Invasão Hacker
Soccoroooo!!!
Pessoal agora está acontecendo comigo.
tenho um servidor Debian 3.1 com kernel 2.6 e firewall iptables com politica drop para input e forward, acontece que tem alguem rodando um dicionário de dados no meu servidor ssh. O cara tá tentando invadir via brute force.
O estranho é que eu liberei ssh somente para um determinado ip, e até testei de outro lugar e a conexão foi barrada. Só que o meu auth.log tem um monte de linhas assim:
Illegal user guest from 203.64.42.109
POSSIBLE BREAKIN ATTEMPT!
e assim vai tentando com vários usuários
Não sei como o cara tá conseguindo fazer requisições no meu firewall, pois a regra deveria funcionar.
Agora peço ajuda a vocês, pois no meu servidor tem uns usuários padão criados e queria saber quais posso remover:
Segue uma lista deles:
sync
games
man
lp
mail
news
uucp
proxy
backup
list
gnats
exim
Agradeço a ajuda...
-
Invasão Hacker
change the apllication Door.
Up our down.
hehehe
=]
-
Invasão Hacker
O games e o man com certeza.
Mas seŕa que isso no log nao são as tentativas barradas?
Vc fez log do iptables?
-
Invasão Hacker
Não, não tenho nenhuma regra de log no iptables.
Instalei o snort aqui, só que não sei como configura-lo. Será que alguem conheçe um bom tutu aí?
-
Invasão Hacker
Cara existe mtos tutoriais bons de snort no google, mas a maioria eh sobre configurações básicas, se quiser se aprofundar mais recomendo algum livro.
falows