2 Anexo(s)
Tentativas de Login Por Telnet E SSH
Olá galerinha, bom já faz algum tempo que eu venho observando alguns logs em um determinado servidor MK de uma rede, onde sempre que ativo o serviço de ssh ou telnet, automaticamente em alguns minutos, o servidor em questão começa a receber várias tentativas de login com nome de usuários padrão, como root, admin, cusadmin e etc...
As tentativas de login sempre vem do mesmo ip, 201.184.47.163
Anexo 50153
Queria pedir a vocês que deixassem o serviço telnet e ssh ativos em suas portas padrões e ver se o mesmo acontece, já que eu não faço a mínima ideia de quem/ou o que seja...
O ip leva até essa página de login.
Desde já obrigado a todos.
Anexo 50152
Re: Tentativas de Login Por Telnet E SSH
Aqui também eu fiz o mesmo que você, tem hora que começa vários acessos, depois para e assim vai.
O que acho estranho é o seguinte a tentativa de acesso vem de um Ip Externo certo? Meu ip nessa rede não é fixo, e com tanta facilidade o camarada começa a tentar logar na minha rede. O ip pertence
Me pergunto porque diabos tentam acessar a rede? rsrs
Re: Tentativas de Login Por Telnet E SSH
Sofri muitos ataques por ssh, resolvi com regras de bloqueio, e definitivamente com a troca de ip válido.
Re: Tentativas de Login Por Telnet E SSH
Citação:
Postado originalmente por
Djaldair
Sofri muitos ataques por ssh, resolvi com regras de bloqueio, e definitivamente com a troca de ip válido.
Podes crer mano... Mais a minha intenção era saber se mais alguém sofre ataques desse mesmo IP. Queria saber o porque... Qual o propósito dessa rede receber um ataque... Queria saber se é um tipo de vírus que roda no RouterOs porque é de forma automática entende. É como se ficasse procurando alguem rodando tal serviço.
Abraço!
Re: Tentativas de Login Por Telnet E SSH
Meu caro,
Por padrão sempre desativamos as portas dos serviços não utilizados e mudamos a porta padrão dos serviço que usamos.
Além de limitar o acesso apenas para as redes o qual vão usar o serviço.
Também criamos uma regra de "força bruta ssh/telnet/ftp" ou qualquer outro serviço a ser utilizado para que se houver as tentativas de acesso o atacante fique em uma lista negada.
Alterar as senhas do usuários do sistema e rebaixar seus privilegios
Criar usuário e senhas personalizado por pessoas que seus níveis de acesso.
Isso é o mínimo de segurança que deve ser adotado.
Re: Tentativas de Login Por Telnet E SSH
use estas regras basta colar no newterminal
/ip firewall filter
add action=drop chain=input comment="drop ssh brute forcers" disabled=no dst-port=22 protocol=tcp src-address-list=SSH-LISTANEGRA
add action=add-src-to-address-list address-list=SSH-LISTANEGRA address-list-timeout=17w1d chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp src-address-list=ESTAGIO2
add action=add-src-to-address-list address-list=ESTAGIO2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp src-address-list=ESTAGIO1
add action=add-src-to-address-list address-list=ESTAGIO1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp
vai criar uma blacklist de ips, se errar 3 vezes ip é dropado
Re: Tentativas de Login Por Telnet E SSH
Fico grato a todos que responderam o tópico, porém a minha finalidade foi mais a curiosidade em questão do IP...
Desde a primeira tentativa eu já desativei os serviços e troquei as portas dos serviços que utilizo, porém foi uma questão de curiosidade minha em relação a tal IP, já que assim que eu ativo começo receber essas tentativas de logins, e se trata de um Ip fixo de uma grande empresa, por isso queria saber se mais alguém estava sofrendo esse mesmo tipo de tentativa de login vindo da mesma faixa de IP...
Mais obrigado a todos pela atenção.
Abraço!
Re: Tentativas de Login Por Telnet E SSH
Olá,
Esse tipo de tentativas é padrão na internet, é um sistema automatizado que varre redes e utiliza-se de brute force com base em dicionários de palavras, na maioria das vezes é praticados por "scriptkids" como eles atiram para qualquer lado as vezes pegam um ou outro serviço, se fosse uma ameaça real é plausível que ele já teria acesso root no servidor.
Alguns pontos a se observar:
- desative aquilo que você não precisa. regra: "tudo é proibido, exceto...."
- Serviço de Telnet? pra que isso esta rodando ai mesmo? quem usa isso ai? Qualquer sistema que utilize acesso telnet remoto não deve ser levado a sério.
- trocar de portas padrão NÃO RESOLVE, pois em um scanner completo, mesmo que você mude a porta ainda ira parecer ao atacante todas as portas abertas.
- considere a possibilidade de colocar um firewall com IDS (Intrusion Detection System) que ira analisar as assinatura de ataque e associado a um programa que toda decisões, como por exemplo: o sistema emite um sinal positivo para assinatura de ataque, no seu caso, brute force, ele bloqueia o ip por por 24 horas, avisa o admin por sms, email, aciona a cafeteira, etc. (snort, guardian, entre outros)
- 4FUN: Reação, o IDS detecta uma invasão e o servidor passa a rodar rotinas de ataques reversos, como scritps de segurança que analisem o atacante e ataquem de volta com dos, ddos, flood, etc. "Aquele que se empenha a resolver as dificuldades resolve-as antes que elas surjam. Aquele que se ultrapassa a vencer os inimigos triunfa antes que as suas ameaças se concretizem." Sun Tzu ( A Arte da Guerra)
- É provável que a máquina de onde se origina o ataque, esteja comprometida, elabore um email padrão e encaminhe ao admin da rede e a administração da empresa, fazer um administrador de rede explicar ao diretor da empresa porque a empresa dele esta atacando outras empresas na internet pode ser mais eficaz que qualquer outra medida de seguranças. Pelo menos demonstra a que na sua empresa, segurança é levado a sério e vocês estão atentos.
- Gere log de tudo e leia, de que adianta ter log se ninguém lê, se são muitos logs, existem ferramentas que te ajudam nisso. log existe para prevenir e não para ajudar a resolver depois que o pior já aconteceu, até porque limpar traços de uma invasão também é uma arte.
- Concentre sua atenção naquilo que esta acontecendo dentro da sua rede, 97% dos incidentes acontecem ali. Invasões por agentes externos acontecem mais em filmes que na vida real.
- Serviços e servidores podem estar em uma rede separada, como uma DMZ por exemplo.
- Muitas vezes aquela CPU antiga jogada no fundo da área técnica pode se tornar um firewall/IDS melhor do que uma solução pronta, cara e ineficaz.
Sou um otimista, acredito que: "Todo servidor é seguro, exceto os mal configurados."
Espero ter ajudado.
[]'s
KP
Re: Tentativas de Login Por Telnet E SSH
Citação:
Postado originalmente por
Kernel Panic
Olá,
Esse tipo de tentativas é padrão na internet, é um sistema automatizado que varre redes e utiliza-se de brute force com base em dicionários de palavras, na maioria das vezes é praticados por "scriptkids" como eles atiram para qualquer lado as vezes pegam um ou outro serviço, se fosse uma ameaça real é plausível que ele já teria acesso root no servidor.
Alguns pontos a se observar:
- desative aquilo que você não precisa. regra: "tudo é proibido, exceto...."
- Serviço de Telnet? pra que isso esta rodando ai mesmo? quem usa isso ai? Qualquer sistema que utilize acesso telnet remoto não deve ser levado a sério.
- trocar de portas padrão NÃO RESOLVE, pois em um scanner completo, mesmo que você mude a porta ainda ira parecer ao atacante todas as portas abertas.
- considere a possibilidade de colocar um firewall com IDS (Intrusion Detection System) que ira analisar as assinatura de ataque e associado a um programa que toda decisões, como por exemplo: o sistema emite um sinal positivo para assinatura de ataque, no seu caso, brute force, ele bloqueia o ip por por 24 horas, avisa o admin por sms, email, aciona a cafeteira, etc. (snort, guardian, entre outros)
- 4FUN: Reação, o IDS detecta uma invasão e o servidor passa a rodar rotinas de ataques reversos, como scritps de segurança que analisem o atacante e ataquem de volta com dos, ddos, flood, etc. "Aquele que se empenha a resolver as dificuldades resolve-as antes que elas surjam. Aquele que se ultrapassa a vencer os inimigos triunfa antes que as suas ameaças se concretizem." Sun Tzu ( A Arte da Guerra)
- É provável que a máquina de onde se origina o ataque, esteja comprometida, elabore um email padrão e encaminhe ao admin da rede e a administração da empresa, fazer um administrador de rede explicar ao diretor da empresa porque a empresa dele esta atacando outras empresas na internet pode ser mais eficaz que qualquer outra medida de seguranças. Pelo menos demonstra a que na sua empresa, segurança é levado a sério e vocês estão atentos.
- Gere log de tudo e leia, de que adianta ter log se ninguém lê, se são muitos logs, existem ferramentas que te ajudam nisso. log existe para prevenir e não para ajudar a resolver depois que o pior já aconteceu, até porque limpar traços de uma invasão também é uma arte.
- Concentre sua atenção naquilo que esta acontecendo dentro da sua rede, 97% dos incidentes acontecem ali. Invasões por agentes externos acontecem mais em filmes que na vida real.
- Serviços e servidores podem estar em uma rede separada, como uma DMZ por exemplo.
- Muitas vezes aquela CPU antiga jogada no fundo da área técnica pode se tornar um firewall/IDS melhor do que uma solução pronta, cara e ineficaz.
Sou um otimista, acredito que: "Todo servidor é seguro, exceto os mal configurados."
Espero ter ajudado.
[]'s
KP
Simplesmente show de bola o seu post, rsrs...
Tudo que falou é verdade, algumas medidas citadas acima já estão rodando aqui, porém como eu tinha falado era curiosidade saber se mais alguém está sofrendo o mesmo "ataque" vindo do mesmo Ip.
Porém muito obrigado, algumas dicas como contactar a empresa responsável pelo Ip será uma das coisas que irei fazer.
Abraço!
Re: Tentativas de Login Por Telnet E SSH
Citação:
Postado originalmente por
Arthuzitow
Simplesmente show de bola o seu post, rsrs...
Tudo que falou é verdade, algumas medidas citadas acima já estão rodando aqui, porém como eu tinha falado era curiosidade saber se mais alguém está sofrendo o mesmo "ataque" vindo do mesmo Ip.
Porém muito obrigado, algumas dicas como contactar a empresa responsável pelo Ip será uma das coisas que irei fazer.
Abraço!
Apenas com o intuito de te ajudar e com objetivo educacional.
Diga a ele que o servidor de câmeras dele esta comprometido e que esta exposto na internet sem critérios básicos de segurança.
Que pessoas não autorizadas estão utilizando seu servidor como base de ataque a servidores na internet.
Não espere muito, pois trata-se de uma pequena lanchonete, com um servidor DS-7216HVI-SV com capacidade para 16 câmeras, embora ele tenha apenas 9 câmeras em funcionamento.
Se ainda ele não acreditar, mostre esta imagem a ele, atente para o canto superior direito, onde esta escrito a palavra: ADMIN
(tempo gasto: 30 segundos)
http://s7.postimg.org/6bu2uahln/lanchonete.png
Espero que isso te ajude e ao dono da lanchonete também.
Bloquei este IP por padrão, ele já tem problemas demais.
[]'s
KP
Re: Tentativas de Login Por Telnet E SSH
inetnum: 201.184/15
status: allocated
aut-num: N/A
owner: EPM Telecomunicaciones S.A. E.S.P.
ownerid: CO-EPME1-LACNIC
responsible: Administrador EPMNET
address: Carrera 77 39b-16, -, -
address: 940 - Medellin - CO
country: CO
phone: +57 4 4152280 []
Re: Tentativas de Login Por Telnet E SSH
Citação:
Postado originalmente por
Pirigoso
inetnum: 201.184/15
status: allocated
aut-num: N/A
owner: EPM Telecomunicaciones S.A. E.S.P.
ownerid: CO-EPME1-LACNIC
responsible: Administrador EPMNET
address: Carrera 77 39b-16, -, -
address: 940 - Medellin - CO
country: CO
phone: +57 4 4152280 []
Citação:
Postado originalmente por
Kernel Panic
Apenas com o intuito de te ajudar e com objetivo educacional.
Diga a ele que o servidor de câmeras dele esta comprometido e que esta exposto na internet sem critérios básicos de segurança.
Que pessoas não autorizadas estão utilizando seu servidor como base de ataque a servidores na internet.
Não espere muito, pois trata-se de uma pequena lanchonete, com um servidor DS-7216HVI-SV com capacidade para 16 câmeras, embora ele tenha apenas 9 câmeras em funcionamento.
Se ainda ele não acreditar, mostre esta imagem a ele, atente para o canto superior direito, onde esta escrito a palavra: ADMIN
(tempo gasto: 30 segundos)
h
ttp://s7.postimg.org/6bu2uahln/lanchonete.png
Espero que isso te ajude e ao dono da lanchonete também.
Bloquei este IP por padrão, ele já tem problemas demais.
[]'s
KP
Fico grato pela atenção de vocês, porém já entrei em contato com o ADMIN da empresa responsável por "hospedar" tal IP/Serviço, apenas espero uma resposta do mesmo.
Porém vejo que o único aqui a sofrer com ataques desse determinado IP foi eu mesmo, meu pensamento de imediato foi algum tipo de botnet, com finalidade de ataque a "provedores" ou seja sistemas rodando o RouterOs da MK, a fim de conseguir info de cc e banker de usuários ou seja nossos clientes. Por isso pensei que mais alguém também estaria sofrendo o mesmo que eu. Porém minha intenção foi saber se era algo do tamanho que eu imaginava afim de alertar os amigos, ou simplesmente algo do tipo que o Kernel Panic citou, algo que "ScriptKiddies" fazem atira para todo lado.
Bom mais uma vez fico agradecido pela ajuda de todos vocês...
Abraço e vlw galera.
Re: Tentativas de Login Por Telnet E SSH
Citação:
Postado originalmente por
Kernel Panic
Apenas com o intuito de te ajudar e com objetivo educacional.
Diga a ele que o servidor de câmeras dele esta comprometido e que esta exposto na internet sem critérios básicos de segurança.
Que pessoas não autorizadas estão utilizando seu servidor como base de ataque a servidores na internet.
Não espere muito, pois trata-se de uma pequena lanchonete, com um servidor DS-7216HVI-SV com capacidade para 16 câmeras, embora ele tenha apenas 9 câmeras em funcionamento.
Se ainda ele não acreditar, mostre esta imagem a ele, atente para o canto superior direito, onde esta escrito a palavra: ADMIN
(tempo gasto: 30 segundos)
h
ttp://s7.postimg.org/6bu2uahln/lanchonete.png
Espero que isso te ajude e ao dono da lanchonete também.
Bloquei este IP por padrão, ele já tem problemas demais.
[]'s
KP
Esqueci de falar, que sobre o ponto "chave" o login e senha que está em questão...
Acho que não vou ter muito resultado em contato feito por e-mail com tal ADMIN dessa rede não.
Como você teve acesso do mesmo jeito que eu, você deve entender o que eu falei.
Abraço e obrigado pela ajuda!
Re: Tentativas de Login Por Telnet E SSH
Acompanhando, tbm acessei o dvr, alguem sabe onde fica este lugar ?
Re: Tentativas de Login Por Telnet E SSH
Saudações...
Segundo a geolocalização do ip o local fica na Colômbia, aparece como provável a cidade de Medellin ou Bogotá.
Façam suas apostas, quem acertar o lugar exato ganha um sanduíche. ;)
É o big brother culinário!! =P
Segue os resultados:
|
IP Address |
Country |
Region |
City |
ISP |
|
201.184.47.163 |
Colombia |
Antioquia |
Medellin |
Epm Telecomunicaciones S.a. E.s.p. |
|
Geolocation data from
IPligence (Product: Max)
|
IP Address |
Country |
Region |
City |
ISP |
|
201.184.47.163 |
Colombia |
|
Medellin |
Epm Telecomunicaciones S.a. E.s.p. |
|
|
Continent |
Latitude |
Longitude |
Time Zone |
|
|
South America |
6.25 |
-75.58 |
EST |
|
|
IP Address |
Country |
Region |
City |
ISP |
|
201.184.47.163 |
Colombia |
Distrito Especial |
Bogotá |
Epm Telecomunicaciones S.a. E.s.p. |
|
|
Continent |
Latitude |
Longitude |
Organization |
|
|
South America |
4.6492 |
-74.0628 |
Telecomunicaciones S.A. E.S.P. |
|
Geolocation data from
MaxMind (Product: GeoLiteCity)
|
IP Address |
Country |
Region |
City |
Postal Code |
Area Code |
|
201.184.47.163 |
Colombia |
34 |
Bogot� |
|
|
|
Registry Information for 201.184.47.163
[]´s
KP
Re: Tentativas de Login Por Telnet E SSH
Citação:
Postado originalmente por
Arthuzitow
Olá galerinha, bom já faz algum tempo que eu venho observando alguns logs em um determinado servidor MK de uma rede, onde sempre que ativo o serviço de ssh ou telnet, automaticamente em alguns minutos, o servidor em questão começa a receber várias tentativas de login com nome de usuários padrão, como root, admin, cusadmin e etc...
As tentativas de login sempre vem do mesmo ip, 201.184.47.163
Anexo 50153
Queria pedir a vocês que deixassem o serviço telnet e ssh ativos em suas portas padrões e ver se o mesmo acontece, já que eu não faço a mínima ideia de quem/ou o que seja...
O ip leva até essa página de login.
Desde já obrigado a todos.
Anexo 50152
Efetue o bloqueio de entrada em sua borda.
Re: Tentativas de Login Por Telnet E SSH
Estou no aguardo do retorno se é que vou ter né, um retorno do e-mail enviado ao ADMIN...
7 Anexo(s)
Re: Tentativas de Login Por Telnet E SSH
Anexo 50170Anexo 50171Anexo 50172Anexo 50173Anexo 50174Anexo 50175Anexo 50176
Citação:
Postado originalmente por
Acronimo
use estas regras basta colar no newterminal
/ip firewall filter
add action=drop chain=input comment="drop ssh brute forcers" disabled=no dst-port=22 protocol=tcp src-address-list=SSH-LISTANEGRA
add action=add-src-to-address-list address-list=SSH-LISTANEGRA address-list-timeout=17w1d chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp src-address-list=ESTAGIO2
add action=add-src-to-address-list address-list=ESTAGIO2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp src-address-list=ESTAGIO1
add action=add-src-to-address-list address-list=ESTAGIO1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp
vai criar uma blacklist de ips, se errar 3 vezes ip é dropado
Olá a todos! gostaria de agradecer o Acronimo que postou as regras acima, pois assim que vi o post inseri as regras no meu mikrotik e instantes antes de postar esta resposta tive um susto, pois com a nova regra instalada no mikrotik acessei o address-list e vi 398 ips na lista negra, os quais seguem as imagens em anexo, gostaria de ter exportado os ips, porem como estão em uma lista dinâmica, não consegui exportar, o mikrotik só exporta os endereços fixos dentro da lista.
Se alguém souber como exportar a lista dinâmica do Mikrotik peço por gentileza que passe o procedimento!
Faço questão de postar a lista completa caso outros tenham interesse em coloca-las em seus servidores!
o que me deixou realmente espantado é que foi muito rápido o crescimento desta lista negra.
Obrigado a Todos!
Re: Tentativas de Login Por Telnet E SSH
Não é brincadeira não amigo...
Alguém conseguindo acesso ao qualquer um de nossos servidores, pode fazer praticamente tudo... Inclusive coletar informações de nossos clientes, como senhas de e-mail, cartões de crédito, dados bancarios e etc... E até fazer uso de nossa rede para infectar/atingir outras redes...
Por isso esse tipo de informação deve sempre ser divulgada e técnicas compartilhadas.
Não sei se você já fez, porém tenta mudar a porta padrão dos seus serviços.
Abraço!
Re: Tentativas de Login Por Telnet E SSH
Citação:
Postado originalmente por
Acronimo
use estas regras basta colar no newterminal
/ip firewall filter
add action=drop chain=input comment="drop ssh brute forcers" disabled=no dst-port=22 protocol=tcp src-address-list=SSH-LISTANEGRA
add action=add-src-to-address-list address-list=SSH-LISTANEGRA address-list-timeout=17w1d chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp src-address-list=ESTAGIO2
add action=add-src-to-address-list address-list=ESTAGIO2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp src-address-list=ESTAGIO1
add action=add-src-to-address-list address-list=ESTAGIO1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp
vai criar uma blacklist de ips, se errar 3 vezes ip é dropado
Poderia está utilizando da mesma regra porém alterando apenas as portas para outros serviços, como ftp, telnet etc...