Será que estão tentando invadir meu MK?

[gotch]

gente!! quem fo mais experiente me diz ai!!!
tinha um server linux numa escola q trabalho!!
eu desconfiava que o antigo adm entrava e fazia umas bagunças!!
instalei o MK!!
so que agora percebi as seguints msg de log

e essas são apenas as da parte da manhã!! sera que tem alguem usando um bruteforce ou algo do tipo?: minha senha e alfa numerica com um nivel de dificuldade alto!!




ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user jack from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user operator from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user operador from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user grafik from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user usuario from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user norma from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user robert from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user roberto from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user bobby from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user cesar from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user daniel from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user jim from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user jimmy from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user lee from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user matt from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user paul from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user peter from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user sean from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user steve from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user steven from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user temp from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user tim from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user tom from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user samba from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user apple from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user master from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user manager from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user root from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user xxx from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user jerry from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user jesus from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user zeus from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user god from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user erica from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user eric from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user alexander from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user webuser from 200.150.229.125 via ssh

[rps67]

Com certeza vc está sendo invadido por alguém pelo ip 200.150.229.125 e os nomes for user, são as tentativas de login usadas por ele.
use essa regra no firewall, e vej a se resolve:
add chain=input src-address-list=drop_port_22_23 action=drop comment="Bloqueia Porta 22_23" disabled=no

[gotch]

opa!!!! eu ja fiz o bloqueio !!!
tinha visto as tentativas em vão tbm!!! o que me intriga e como obteve esse ip!!
sou tecnico em segurança de uma empresa!!! o interessante é que esse servidor e novo!! e ele é apenas para uma sub rede!! os endereços que tentaram entrar são do mexico e australia!!! parece que vem de um proxy para se disfarçar ou entaum na pior das ipoteses esse mk crakeado tem alguma coisa suspeita!!
tenho um outro serve com tecnologia nt que registrou um envio de ip do mk pra rede externa!!!
agora eu me pergunto!! porque o mk crakeado faria isso!! e o mais interessante e que logo apos esse envio de ip começaram as tentativas!!!!!
pra quem quise analiza!! ta ai uma coisa intrigante!!

Com certeza vc está sendo invadido por alguém pelo ip 200.150.229.125 e os nomes for user, são as tentativas de login usadas por ele.
use essa regra no firewall, e vej a se resolve:
add chain=input src-address-list=drop_port_22_23 action=drop comment="Bloqueia Porta 22_23" disabled=no

[gustkiller]

realmente isto é bastante interessante pois todo mikrotik que instalo acontece a mesma coisa minutos apos instalar tem gente tentando logar

[gotch]

bom gente!!!
como disse um outro serve registrou a conexão!!! ela usava o protocolo 17 ip 210.241.226.204 usou o protocolo de autenticação 47 se naum estou enganado e usado pro vpn e o 51 tbm!!! !!! estou afim de reinstalar novamente e ver se o mesmo ocorre novamente!!! isso na versão 2.9.27!! a crackeada!!!! quando bloquiei as portas ssh pude observar que havia tipo um sniff randonizando(nome que encontrei rs) outras portas!!!!!!! não sou la aquele firewall.. nem entendo mto... mas so de bater os olhos nisso fiquei intrigadissimo!!!!
aguardo respostas.. testes etc

[alexsuarezferreira]

aqui eu montei um servidor MK tmbem, e aparesia amesma coisa, dava a entender que era uma tentativa de nvazao.
extranho isso, ou sera un bug ou uma backdor no mk ?????

[sophs]

Amigo isso deve ocorrer apenas com mikrotik crackeado pois uso 2 mikrotiks licenciados aqui na empresa onde trabalho e nunca tive problemas desse tipo

[deliam]

Bom, instalei a versao demo do MT e deu a mesma coisa, ow seja, para quem estiver desconviando da versão crakeada, acredito que não seja.

[sophs]

Certo... mas você tentou mudar o ip do MKT para testar talvez o MKT crackeado envie seu ip para algum host... entao como o seu ip é o mesmo o cara que está tentando invadir continua tentando faz o seguinte muda o ip, e monitora se o MKT vai enviar o seu ip novamente

[gotch]

bom vai ve então que é um teste que o mikrotik faz pra testar as habilidades do administrador e deixa-lo mais experto rs!!!

[gotch]

boua!! é isso mesmo que farei!!

Certo... mas você tentou mudar o ip do MKT para testar talvez o MKT crackeado envie seu ip para algum host... entao como o seu ip é o mesmo o cara que está tentando invadir continua tentando faz o seguinte muda o ip, e monitora se o MKT vai enviar o seu ip novamente

[sergio]

gente, vocês estrão precisando ler mais.... Aqui no Under, nos foruns de segurança, firewall, tem vários posts à respeito disso.

Isso é um force brute de ssh, um script normalmente em perl que roda a web à procura de ssh com user/senha toscas...

Para parar com isso, mude a porta padrão do ssh e coloque regras de firewall para INPUT somente de IPs confiáveis (os do host que poderão acessar).

[gotch]

ola sergio!!! e sempre bom ler mais rs.... mas se vc ler um pouco acima vera que eu mesmo sugeri que fosse um brute force....
so que esses brute force não scaneiam ips em velocidades maiores que a do tempo pra no praso de vc jogar na rede ele esta em cima no mesmo momento!!!
quanto a senha pelomenos as minhas são de alta dificuldade até estrelinha e simbolos gregos eu uso........
o problemas e a saida de dados do mk!!! que esta entrando e obvio.... agora como é tão rapido não sei responder.. ja usei mto brut force com dicionarios importados que tentava senhas não tão toscas.......
continuarei fuçando aqui!! mas desde ja obrigado!!

gente, vocês estrão precisando ler mais.... Aqui no Under, nos foruns de segurança, firewall, tem vários posts à respeito disso.

Isso é um force brute de ssh, um script normalmente em perl que roda a web à procura de ssh com user/senha toscas...

Para parar com isso, mude a porta padrão do ssh e coloque regras de firewall para INPUT somente de IPs confiáveis (os do host que poderão acessar).

[sergio]

ola sergio!!! e sempre bom ler mais rs.... mas se vc ler um pouco acima vera que eu mesmo sugeri que fosse um brute force....
so que esses brute force não scaneiam ips em velocidades maiores que a do tempo pra no praso de vc jogar na rede ele esta em cima no mesmo momento!!!

depende... se por acaso um host da sua rede estiver como zumbi com algum malware qq é na hora!

quanto a senha pelomenos as minhas são de alta dificuldade até estrelinha e simbolos gregos eu uso........

isso é uma boa política de senhas.

o problemas e a saida de dados do mk!!! que esta entrando e obvio.... agora como é tão rapido não sei responder.. ja usei mto brut force com dicionarios importados que tentava senhas não tão toscas.......
continuarei fuçando aqui!! mas desde ja obrigado!!

Esses scripts scaneiam ranges inteiros de IP, então se usar outro IP do mesmo range é quase instântaneo e não se esqueça que fora do Brasil, usuários "comuns" tem largura de banda de 4, 8, até 20 mbps (alguns na Alemanha, tem hosts atendidos por fibra, onde você pode imaginar a qualidade desses links).
Já recebi um DoS da Alemanha, de um usuário qq de um provedor lá... só solicitando para a Embratel bloquear meu acesso Internacional todo pra conseguir um tempo de entrar em contato com o provedor em questão e solicitar que o "engraçadinho" parasse com a farra.

[deliam]

No meu caso eu estou usando Velox, e toda vez que eu reinicio o computador, um novo IP é atribuido...

[gotch]

rs!! tinha me esquecido dos links internacionais rs!!
são mto rapidos mesmo... um amigo no japão tem um de 10 mb!
nukava que era uma maravilha!!

bom mais mudando de assunto..... vc por acaso não saberia configurar o script ddns do changeip.com pra usa no mikrotik como se fosse o no - ip??? tem outro topico meu postando o script!!
mais uma vez mto obrigado!!

[sergio]

rs!! tinha me esquecido dos links internacionais rs!!
são mto rapidos mesmo... um amigo no japão tem um de 10 mb!
nukava que era uma maravilha!!

bom mais mudando de assunto..... vc por acaso não saberia configurar o script ddns do changeip.com pra usa no mikrotik como se fosse o no - ip??? tem outro topico meu postando o script!!
mais uma vez mto obrigado!!

Esse lance da configuração não sei... nunca precisei e por isso não conheço.

O pessoal do forum deve ajudar nisso.

[catvbrasil]

gente!! quem fo mais experiente me diz ai!!!
tinha um server linux numa escola q trabalho!!
eu desconfiava que o antigo adm entrava e fazia umas bagunças!!
instalei o MK!!
so que agora percebi as seguints msg de log

e essas são apenas as da parte da manhã!! sera que tem alguem usando um bruteforce ou algo do tipo?: minha senha e alfa numerica com um nivel de dificuldade alto!!




ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user jack from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user operator from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user operador from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user grafik from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user usuario from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user norma from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user robert from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user roberto from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user bobby from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user cesar from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user daniel from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user jim from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user jimmy from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user lee from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user matt from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user paul from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user peter from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user sean from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user steve from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user steven from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user temp from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user tim from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user tom from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user samba from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user apple from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user master from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user manager from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user root from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user xxx from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user jerry from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user jesus from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user zeus from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user god from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user erica from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user eric from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user alexander from 200.150.229.125 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user webuser from 200.150.229.125 via ssh

Faça um bloqueio deste IP.... Regra

IP > Firewall > FILTER
Chain: INPUT
SRC. Address: 200.150.229.125
Protocol: 6 (tcp)
To port: 8291 (winbox) ou 23 (SSH)

Aba Action:
Action: Drop

Tenta ae e posta o resultado...

[ginvava]

bom vai ve então que é um teste que o mikrotik faz pra testar as habilidades do administrador e deixa-lo mais experto rs!!!

Eu acho que o cara simplesmente ta usando um linux e scaneando ips aleatoriamente com o algum programa tipo nmap. Quando ele acha um servidor com a porta 22 habilitada tenta entrar com logins aleatorios.

[ruyneto]

Pessoal pra mim o jeito mais facil de resolver isso ( não sei se da de fazer no MK ) é mudar a porta ssh e pronto, o cara pode tentar quanto quiser que vc nem precisa se preocupar.

falows