+ Responder ao Tópico



  1. #1

    Exclamation Invasão pelo SSH, aconteceu debian e conectiva.

    Venho relatar dois acontecimentos de invasão pelo ssh no debian 4.0 testing e no conectiva 10 up.

    Depois de alguns dias 26 dias ( fui verificar os linux ( gateway internet ) mas o engraçado ( pra não falar triste) , foi ver no historico de comando comandos dados e arquivos baixados. quando fui ver o log do sistema tinha tentativas de acesso no ssh a milhares e uma delas acessou. as senhas e usuarios dos dois sistema só tinha duas. senhas relativamente fortes com 10 digitos intercalados de letras e numeros.

    O metodo foi o mesmo nos dois sistemas. o bom que era apenas gateway mesmo, mais nada. por isso não tinha firewall e nada.

    Mas o que me intriga é o acesso pelo ssh com o usuario do sistema que tinha senha forte e depois o root que tinha uma senha de 12 digitos entre letras e numero.

    Foi a primeira vez que me acontece isso entre 8 anos de uso de linux e freebsd.

    Procurei algo sobre falhas no ssh mas não achei. vai então o aviso para tomar cuidado.

    Vou pegar os logs dos dois gatewayzinho e postar depois pra voces verem a tecnica de brutal force.

    ate mais.

  2. #2
    Moderador Avatar de xandemartini
    Ingresso
    Nov 2005
    Localização
    Espumoso, Brazil
    Posts
    2.405
    Posts de Blog
    1

    Padrão

    Citação Postado originalmente por ShadowRed Ver Post
    Venho relatar dois acontecimentos de invasão pelo ssh no debian 4.0 testing e no conectiva 10 up.

    Depois de alguns dias 26 dias ( fui verificar os linux ( gateway internet ) mas o engraçado ( pra não falar triste) , foi ver no historico de comando comandos dados e arquivos baixados. quando fui ver o log do sistema tinha tentativas de acesso no ssh a milhares e uma delas acessou. as senhas e usuarios dos dois sistema só tinha duas. senhas relativamente fortes com 10 digitos intercalados de letras e numeros.

    O metodo foi o mesmo nos dois sistemas. o bom que era apenas gateway mesmo, mais nada. por isso não tinha firewall e nada.

    Mas o que me intriga é o acesso pelo ssh com o usuario do sistema que tinha senha forte e depois o root que tinha uma senha de 12 digitos entre letras e numero.

    Foi a primeira vez que me acontece isso entre 8 anos de uso de linux e freebsd.

    Procurei algo sobre falhas no ssh mas não achei. vai então o aviso para tomar cuidado.

    Vou pegar os logs dos dois gatewayzinho e postar depois pra voces verem a tecnica de brutal force.

    ate mais.
    Eu tenho um server CL10 há uns 2 anos, com ssh habilitado.. É incrível nos logs a quantia de tentativas de acesso! Mas por enquanto ninguém conseguiu invadir... Vou dar uma olhada nessa questão, de repente até mudar o porta do ssh, sei lá... vou falar com o cara que me dá suporte, pq nesse server roda postfix, apache, dns e mysql... tem tudo do meu provedor hehehe.

  3. #3

    Padrão Acesso ssh

    Este tipo de problema eh uma tentativa de invasao por forca bruta, existem dois metodos para evitar isto, um deles eh configurar o servidor do ssh para aceitar login de usuario indicado, e numero de tentativas de acesso. Outra e criar uma chain para a porta 22, inicialmente com ACCEPT,criar um daemon para verificar os logs de acesso, no caso do debian eh o /var/log/auth, no caso do conectiva, /var/log/messages, e a partir das mensagens de erro de acesso do ssh, banir os ips da chain do ssh. O problema da segunda solucao eh que se o administrador tentar acessar a maquina e ele errar o usuario de conexao o proprio administrador fica bloqueado ate que a maquina seja reinicializada. Mais informacoes em:
    SSH Blocking - blinkeye's wiki

  4. #4

    Padrão

    Citação Postado originalmente por amaia Ver Post
    Este tipo de problema eh uma tentativa de invasao por forca bruta, existem dois metodos para evitar isto, um deles eh configurar o servidor do ssh para aceitar login de usuario indicado, e numero de tentativas de acesso. Outra e criar uma chain para a porta 22, inicialmente com ACCEPT,criar um daemon para verificar os logs de acesso, no caso do debian eh o /var/log/auth, no caso do conectiva, /var/log/messages, e a partir das mensagens de erro de acesso do ssh, banir os ips da chain do ssh. O problema da segunda solucao eh que se o administrador tentar acessar a maquina e ele errar o usuario de conexao o proprio administrador fica bloqueado ate que a maquina seja reinicializada. Mais informacoes em:
    SSH Blocking - blinkeye's wiki
    Nunca usei esta tecnica, uso bloquei no firewall para somente acesso com o ip desejado. Mas nos gatewayzinhos não tinha nada tava puro. Só postei pra tomarem cuidado com servers mesmo.

    Mas a opção de bloquei do firewall para ssh ou telnet por ips apenas Desejados . É muito boa nunca tive problemas em 7 anos de uso.

    Mas vai o aviso, nunca deixe o server padrão e agora nem os gateway com ip dinamicos ou fixos esta ferramenta de brutal force passa mesmo, claro se ficar descuidado como os dois ficou 26 dias.


    Até mais.
    Última edição por ShadowRed; 30-04-2007 às 00:03.

  5. #5
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Caso precisem de um daemon pronto que varre os logs e geram as regras de bloqueio para tentativas de acesso ssh com período de validade das regras: Welcome to DenyHosts

  6. #6

    Padrão

    aqui eu bloqueio acesso ao ssh.. restringindo apenas aos meus ips (maquina da minha casa, trabalho etc etc)

    e fiz um sistema em php que quando preciso acessar de um lugar NAO comum, acesso o site.. coloco uma senha.. coloco o ip que preciso acessar.. e ele adiciona no firewall...


  7. #7

    Padrão

    Cara é simples, mas funcional...

    Troca a porta do SSH, e nega pra root :-)

    se é força bruta que te pegaro = Muleque

    muelque trocou a cor do capim, morre de fome.

    pode ser também que sua senha vazou, alguém viu tu digitar, ou um keyloger instalaod no teu terminal (windows se usar) que pegou quando tu digitou num putty da vida.

    abraços

  8. #8

    Padrão

    simples e funcionao nao seria trocar a porta.... mas.. fazer a politica no firewall assim:



    iptables -t filter -N SSH
    iptables -t filter -A SSH -s 10.0.0.1 -j ACCEPT
    iptables -t filter -A SSH -s 127.0.0.1 -j ACCEPT
    iptables -t filter -A SSH -s 200.200.200.23 -j ACCEPT
    iptables -t filter -A SSH -j DROP

    iptables -t filter -I INPUT -p tcp --dport 22 -j SSH



    fazendo isso.. vc apenas permite os ips ali listados a conectar no ssh.. para os outros.. nem a porta do ssh eles vao conseguir acessar !!!

    eh o jeito mais seguro