-
Invasão - slackware 10.1
Saudações amigos do forum
Estou com um sério problema!
Tenho um servidor linux slackware 10.1, que serve pra mim como servidor de internet e arquivos pra minha pequena rede em casa, hoje, por incrivel que pareca ( eu nunca faco isso), decidi olhar meu /var/log/messages
qual nao foi minha surpresa ao constatar mais de mil linhas com a seguinte descricao
Set 1 12:10:23 Server sshd[22362] : Invalid user darwin from 210.xxx.xxx.xxx
gente. tem muitas linhas, mas muitas mesmo, tudo mudando o nome do usuario e a porta, geralmente portas altas.
dei um traceroute ip, e chegou a aparecer dominios .jp
o que eu posso fazer gente? até agora o fulano nao entrou, mas deve ser algum brutal force rodando, será que uma hora ou outra ele nao acaba fazendo coisa errada. Meu servidor fica ligado 24 horas por dia, por q meus irmaos nunca tem uma hora especifica pra ficar em casa, entao a internet é usada constantemente.
tem como saber de onde vem essas conexoes? meu conhecimento é um pouco limitado, mas posso aprender, a agua ta batendo! hehehe
Obrigado a quem leu até aqui.
Rodolpho
-
Invasão - slackware 10.1
Cara axo que nem adianta ficar correndo atras de quem da tentando. O esquema é fazer um firewall pra essa maquina com politica drop e liberar o que vc ta precesando so. Se eles acharem que esta muito dificil quebra sua segurança eles vão procurar algo mais facil e deixar pra lá.
-
normal..
isso é extremamente normal acontecer, são desoculpados que deixam exploits rodando procurando por irresponsaveis utilizando senhas fáceis e padroes.. Duas dicas: mude a porta de funcionamento do seu ssh para algo nao muito comum, e bloquei no seu firewall entradas de ips que nao sejam BRS com inicios 201 ou 200 entrantes pela interface web na porta de seu ssh. Levando em conta que a grande maioria desse tipo de tentativas partem de outras localidades que nao seja BRASIL. essa é minha contribuição.
-
Invasão - slackware 10.1
Pode tentar por um snort + guardian e começar a barrar os ips dessas tentativas ae.
falows
-
Invasão - slackware 10.1
é manin ja tive esse problema, hoje eu uso o snort + guardian configuracao basica.
meu nao tenho mais esse tipo de problemas,,
e nem adianta vc correr atraz de quem ta tentando que vc nao vai chegar a lugar nenhum.
[ ]'s