- SSh Invadido
+ Responder ao Tópico
-
SSh Invadido
Ola passoal....
Bom, tenho um firewall usando slackware 10 e iptables...
Eu bloquei tudo e autorizei apenas portas comuns...email..internet e acesso ao ssh para manutencao.
A minha surpresa é que esse firewall foi invadido pelo ssh...alguem pode dar sugestao de como??...nao dei acesso a root, mas tem uns dois meses que nao atualizo o firewall, sera que ele conseguiu atravez de alguma vulnerabilidade ou senha fraca....alguem tem noticia que meio esta sendo mais usado pra invadir o ssh, ele nao deletou os log,s e percebi que ele teve acesso pelo ssh, depois do acesso ele colocou shutdown -h 0 no arquivo rc.M , bom logicamento toda vez que o firewal era ligado ele desligava antes mesmo de pedir a senha, eu tirei essa linha e voltou a funcionar normalmente,
bom, o ideial seria intalar tudo de novo, mas vou dar um tempo pra eu poder estudar que maneira ele usou pra ter acesso.....se alguem puder me ajudar a fazer auditoria seria bom pra nivel de conhecimento de todos aqui.
-
Re: SSh Invadido
Da uma olhada nos logs, se houve muitas tentivas de acesso...
Talvez ele usou um brute force e descobriu a senha...
Mais aplicar os patchs eh sempre bom..
-
Re: SSh Invadido
olha no meu aki estava tendo muitas tentativas de invasão pelos ssh coloquei um progama Deny Hosts q ele le o syslog a procura de tentativas se o ip tentou 3 vezes e naum teve sucesso ele bloqueia o ip no hosts.deny aki ele funiciona muito bem qualquer duvida estamos ai.Olha se ele teve acesso a sua maquina e for um hacker esperto conserteza apagou todos os rastros ai fica dificil de descobrir.Mas da uma olhada nos logs do kernel.
Flw
-
Re: SSh Invadido
Sim...teve varias tentativas, inclusive no dia que foi invadido teve varias tentivas de um mesmo ip...um ip dos USA, acho que ele usou forca bruta, a senha era "1q2w3e4r" é uma senha fraca
-
Re: SSh Invadido
Os logs estao todos no firewalll...amanha estarei no meu cliente e postarei os log's pra gente poder estudar o caso, vc poderia detalhar mais como eu bloqueio o ip depois de 3 tentativas
-
Re: SSh Invadido
Foi uma falha eu nao ter tb atualizado os pacotes.....mas como posso usar o slacpkg pra atualizar automatico...assim fica mais facil ...o slackpkg sempre tem a pergunta de Y/n; como faco pra atualizar e logo em seguida instalar os paths atualizados????
-
Re: SSh Invadido
Acho muito dificil ele ter usado uma ferramenta específica...
Se o cara fosse realmete um problema, ele teria detonado sua máquina.
Tah me parecendo engenharia social... Alguem sabe de sua senha e entrou!!!
mtec :-o
-
Re: SSh Invadido
vc devia também passar o nessus, ele scaneia as portas, gera report em html e fala das vulnerabilidades dos teus serviços, o que ta desatualizado etc. muito bom. Se vc tiver com preguiça de instalar me passa seu ip q eu escaneio pra vc
-
Re: SSh Invadido
Opa
Aconselho ao invés de usar SSH, usar o SSH2 que é muito mais seguro.
Altera a porta padrão de acesso para uma outra, configura para apenas um usuário default permitir o acesso e principalmente libera acesso para determinado(s) IP(s).
Se quiser aumentar ainda mais a segurança, no seu firewall abre a porta que você definiu no SSH2, somente para o IP destino que configurou no ssh2.
t+
-
Re: SSh Invadido
Esse bruteforce está assolando a rede ha tempos...
https://under-linux.org/component/op.../topic,19906.0
mas nada que uma boa configuração afinada no sshd não resolva!
;-)