-
Invasão de Servidor
Pessoal do Underlinux, preciso de ajuda.
Tenho observado que o dia inteiro, e agora entrando no servidor da empresa, vejo pelo /var/log/message que tem n pessoas tentando acessar o nosso servidor. Dá sempre a mensagem de failed password user xxx port xxxx ssh2. Mas quando chego no trabalho, o servidor está sempre resetado. Ou seja, o servidor está sempre começando do zero.
Como faço para barrar isso ??? Vejo o /var/log/message e tem sempre alguém ou alguéns tentando entrar no nosso servidor. Já vi no lastlog e não tem ninguém. O que sugerem para monitar ??? Uso o Slackware 10.2. E não sei como resolver ......... Qualquer ajuda .......... Tenho firewall rodando, Squid ..............mas sinceramente estou perdidão mesmo .........
É sempre porta alta a tentativa no ssh .......... Mas a impressão que dá é que estão tentando, tentando, mas dá sempre failed .........mas o mais estranho é que o nosso servidor quando chego de manhã no trabalho está sempre resetado.
Qualquer dica galera ......... agradeço .......... :-o
-
Re: Invasão de Servidor
E outra coisa ...... porque depois de n tentativas de usuários de fora, estou vendo agora na empresa, nesse momento é 01:25 da madrugada, aparece uma mensagem MARK, repetidas vezes ?
Estou nesse momento conectado via Putty no servidor e vendo isso.
O que faço pessoal do Underlinux ?
Estou perdidão mesmo ..............
Peço ajuda ........... :????
-
Re: Invasão de Servidor
camarada, por que não reve o seu firewall e coloque drop nesse ssh seu?
resetado é o que desligado? ou os serviços(daemons) foram reiniciados?
checa seu file system pra ver se não tem arquivos estranhos, veja conexões ativas nele.
Contra ataques mais avançado não indicaria mas como parece não está sendo bem feito esse ataque puxe o chkrootkit e teste o sistema pra ver se não tem alguma backdoor
-
Re: Invasão de Servidor
use isso aqui:
http://ossec.net/
se tiver algo de errado ele vai falar, e de quebra vc pode ativar a resposta ativa, bloqueando automaticamente esses brute force pelos hosts.deny ou pelo proprio iptables
-
Re: Invasão de Servidor
como estão seus arquivos /etc/hosts.allow e /etc/hosts.deny?
vc pode diminuir negando tudo no hosts.deny:
ALL : ALL
e liberando o que realmente vai usar com um range menor no hosts.allow
ssh : 200. 201.
libera apenas o acesso ssh para os ips iniciados com 200.xxx.xxx.xxx e 201.xxx.xxx.xxx o restante ele nega.
senão vc vai ficar recebendo ataques de fora!!!
t+