1 Anexo(s)
Tentativa de Login por SSH
Bom Dia a todos.
Agora pouco abri o terminal do mikrotik e me deparei com essa mensagem
echo: system,error,critical login failure for user root from 187.111.63.17 via ssh
Anexo 62059
Sou novo em mikrotik mas já deu pra entender que tem alguém querendo acessar certo ?
O que devo fazer ?
desde ja agraço a todos pela atenção.
Obrigado.
[Editado]
Virou Festa agora
dec/18/2015 11:40:02 system,error,critical login failure for user admin from 73.3.179.114 via telnet
dec/18/2015 11:40:05 system,error,critical login failure for user echo welcome from 73.3.179.114 via telnet
dec/18/2015 11:40:09 system,error,critical login failure for user admin from 73.3.179.114 via telnet
dec/18/2015 11:40:11 system,error,critical login failure for user echo welcome from 73.3.179.114 via telnet
dec/18/2015 11:40:33 system,error,critical login failure for user root from 187.19.96.213 via ssh
dec/18/2015 11:45:10 system,error,critical login failure for user system from 24.149.113.230 via telnet
dec/18/2015 11:45:17 system,error,critical login failure for user echo welcome from 24.149.113.230 via telnet
dec/18/2015 12:06:48 system,error,critical login failure for user admin from 187.19.96.213 via ssh
Re: Tentativa de Login por SSH
É um ataque de lista, tipo Hydra, MKbrute, Bruteforce, etc... É tentativa de invasão com certeza... Mas se foi so isso, me parece que o atacante esta fazendo testes antes do ataque verdadeiro.
Primeiro mude a senha do seu MK pra uma bem grande, tipo 10-12 caracteres, com simbolos, letras e números, maiusculas e minúsculas... asim o ataque levaria milhares de anos.... o problema e que o ataque consome sua rede...
Esse IP e de cliente ou uma pessoa qualquer ?
Quando e cliente eu converso e aviso que se acontecer de novo vou rescindir o contrato e desligar a net dele...
E quando nao e cliente, bloquei o mac direto no Rocket, pro cidadao nao conseguir nem conectar...
Mas o certo mesmo e você criar uma sub rede no MK pros seus clientes, dai o Ip do mikrotik fica fora da range dos clientes... só acessa quem tiver o IP certinho do MK. Agora as regras do MK eu não sei porque e meu irmão que faz essa parte...
1 Anexo(s)
Re: Tentativa de Login por SSH
IP Qualquer 73.50.60.222
Agora ficou serio
Anexo 62060
O que devo fazer ?
Citação:
Postado originalmente por
sphreak
Esse IP e de cliente ou uma pessoa qualquer ?
Quando e cliente eu converso e aviso que se acontecer de novo vou rescindir o contrato e desligar a net dele...
E quando nao e cliente, bloquei o mac direto no Rocket, pro cidadao nao conseguir nem conectar...
Mas o certo mesmo e você criar uma sub rede no MK pros seus clientes, dai o Ip do mikrotik fica fora da range dos clientes... só acessa quem tiver o IP certinho do MK. Agora as regras do MK eu não sei porque e meu irmão que faz essa parte...
Re: Tentativa de Login por SSH
É um ataque de bruteforce nervoso!!!!!
Vou dar um alo pro meu irmão e daqui a pouco posto algo...
Re: Tentativa de Login por SSH
Meu irmao falou que usou isso aqui pra proteção...
http://wiki.mikrotik.com/wiki/Brutef...gin_prevention
Ele disse que mudou algumas configs pra mudar o tempo de ban e o ban para downstream.
Ele me falou que da ban por 2 dias no downstream, dai se o cliente ligar reclamando que esta sem conexão a gente conversa de perto com o cidadão
Re: Tentativa de Login por SSH
Você está utilizando a porta padrão?
Re: Tentativa de Login por SSH
/ip service set ssh port=2222
ou
ip service disable 3
bom trabalho.!!
Re: Tentativa de Login por SSH
Citação:
Postado originalmente por
sphreak
Meu irmao falou que usou isso aqui pra proteção...
http://wiki.mikrotik.com/wiki/Brutef...gin_prevention
Ele disse que mudou algumas configs pra mudar o tempo de ban e o ban para downstream.
Ele me falou que da ban por 2 dias no downstream, dai se o cliente ligar reclamando que esta sem conexão a gente conversa de perto com o cidadão
Vou tentar aqui.
Ja posto resultados
Obrigado.
Re: Tentativa de Login por SSH
Bloquear attack por MAC externamente essa é nova. Rsrsrs
Re: Tentativa de Login por SSH
Sugiro apenas trocar a porta. Para esse caso acredito que seja o suficiente.
Re: Tentativa de Login por SSH
Citação:
Postado originalmente por
RodrigoRocha
Sugiro apenas trocar a porta. Para esse caso acredito que seja o suficiente.
Reforço o que o Rodrigo disse!
Acrescento:
O 187.111.63.17 pertence a esses dados:
AS | IP | AS Name
262711 | 187.111.63.17 | TEK TURBO PROVEDOR DE INTERNET LTDA,BR
O 187.19.96.213 pertence a esses dados:
AS | IP | AS Name
28130 | 187.19.96.213 | NETCERTTO INFORMATICA LTDA.,BR
O 24.149.113.230 pertence a esses dados:
AS | IP | AS Name
4922 | 24.149.113.230 | GLOBALCOM - Shentel Service Company,US
O 73.3.179.114 pertence a esses dados:
AS | IP | AS Name
7922 | 73.3.179.114 | COMCAST-7922 - Comcast Cable Communications, Inc.,US
Dica: os dois primeiros IPs são brasileiros, então dá pra ligar pra lá e saber o porquê deles estarem rodando bruteforce na sua rede.
Os outros, você terá que entrar em contato por e-mail mesmo. Geralmente começa com "abuse@..."
Boa sorte!
Re: Tentativa de Login por SSH
Fiz isso logo pela manha caro amigo surfinhu
Mandei email paras os demais antes de postar pela segunda vez.
Troquei Meu Usuário e minha senha ja era difícil alguém acertar mesmo
mesmo assim agradeço pela atenção
Citação:
Postado originalmente por
surfinhu
Reforço o que o Rodrigo disse!
Acrescento:
O 187.111.63.17 pertence a esses dados:
AS | IP | AS Name
262711 | 187.111.63.17 | TEK TURBO PROVEDOR DE INTERNET LTDA,BR
O 187.19.96.213 pertence a esses dados:
AS | IP | AS Name
28130 | 187.19.96.213 | NETCERTTO INFORMATICA LTDA.,BR
O 24.149.113.230 pertence a esses dados:
AS | IP | AS Name
4922 | 24.149.113.230 | GLOBALCOM - Shentel Service Company,US
O 73.3.179.114 pertence a esses dados:
AS | IP | AS Name
7922 | 73.3.179.114 | COMCAST-7922 - Comcast Cable Communications, Inc.,US
Dica: os dois primeiros IPs são brasileiros, então dá pra ligar pra lá e saber o porquê deles estarem rodando bruteforce na sua rede.
Os outros, você terá que entrar em contato por e-mail mesmo. Geralmente começa com "abuse@..."
Boa sorte!
Re: Tentativa de Login por SSH
Sim uso, mas irei mudar já já
Citação:
Postado originalmente por
RodrigoRocha
Você está utilizando a porta padrão?
Re: Tentativa de Login por SSH
Troca de porta não adianta..... cain.abel + Nmap no linux e em 2 minutos o ataque ta rolando de novo... Tem que dropar e banir o mac apos X tentativas erradas de login...
Re: Tentativa de Login por SSH
Citação:
Postado originalmente por
sphreak
Troca de porta não adianta..... cain.abel + Nmap no linux e em 2 minutos o ataque ta rolando de novo... Tem que dropar e banir o mac apos X tentativas erradas de login...
Desculpa minha ignorância, mas não aparece o Mac, só os IP de quem tentou logar.
Da pra fazer o Drop no IP ?
Como faço o drop no IP ?
Re: Tentativa de Login por SSH
amigo fáscio resolver de primeira mão (winbox > ip > service desabilita ssh ou muda a porta tipo 2020 e pronto boa sorte para regras de seguração meu SKYPE aprendainformaticaskype
Re: Tentativa de Login por SSH
Citação:
Postado originalmente por
jamers0n
Desculpa minha ignorância, mas não aparece o Mac, só os IP de quem tentou logar.
Da pra fazer o Drop no IP ?
Como faço o drop no IP ?
Bloquear o mac é no radio.. .. Na mao mesmo...
Se voce tiver Dhcp ativo o correto e fazer mac list preso a um Ip fixo... dai quem nao tiver mac cadastrado nao recebe Ip... so assim que funciona o mac ban.
Ao contrario do que o pessoal ta postando sobre mudar a porta... não adianta nada... Com 2 comandos de Nmap no Linux dá pra descobrir qualquer porta aberta em 3minutos... ou seja... mudar a porta so vai atrasar em uns 5minutos o atacante..
Vai por mim..
Re: Tentativa de Login por SSH
Citação:
Postado originalmente por
sphreak
Bloquear o mac é no radio.. .. Na mao mesmo...
Se voce tiver Dhcp ativo o correto e fazer mac list preso a um Ip fixo... dai quem nao tiver mac cadastrado nao recebe Ip... so assim que funciona o mac ban.
Ao contrario do que o pessoal ta postando sobre mudar a porta... não adianta nada... Com 2 comandos de Nmap no Linux dá pra descobrir qualquer porta aberta em 3minutos... ou seja... mudar a porta so vai atrasar em uns 5minutos o atacante..
Vai por mim..
Uso o MK para gerenciar meus clientes no PPPoE em rede cabeada.
Já desatiei o SSH e FTP.
O ataque esta vindo de fora pelo que percebi, nosso amigo que está usando Brutal Force e usa VPN vai ser difícil acha o abençoado, fica a dúvida posso deixar desabilitado ?
Tenho clientes que jogam LoL ( os mais exigentes) Xbox e PlayStation.
Até onde sei SSH e FTP não vão atrapalhar, está correto isso ?
Agora o Telnet como bloqueio ? Ou ele já fica bloqueado quando desabilitou as portas ?
Se eu trocar o IP público resolve ?
Minha última duvida, como o abençoado descobriu o IP da RB ? Algum vírus no PC dos clientes ou será que realmente o ataque é interno mas o abençoado só usa VPN mesmo?
Amigos do Forum
agradeço a todos pela atencao.
Obrigado .
Re: Tentativa de Login por SSH
A unica coisa que o meu fica abilitado e o winbox e o api o resto tudo fechado depois disso n tive problema com invasao!