Postado originalmente por
ShadowRed
Venho relatar dois acontecimentos de invasão pelo ssh no debian 4.0 testing e no conectiva 10 up.
Depois de alguns dias 26 dias ( fui verificar os linux ( gateway internet ) mas o engraçado ( pra não falar triste) , foi ver no historico de comando comandos dados e arquivos baixados. quando fui ver o log do sistema tinha tentativas de acesso no ssh a milhares e uma delas acessou. as senhas e usuarios dos dois sistema só tinha duas. senhas relativamente fortes com 10 digitos intercalados de letras e numeros.
O metodo foi o mesmo nos dois sistemas. o bom que era apenas gateway mesmo, mais nada. por isso não tinha firewall e nada.
Mas o que me intriga é o acesso pelo ssh com o usuario do sistema que tinha senha forte e depois o root que tinha uma senha de 12 digitos entre letras e numero.
Foi a primeira vez que me acontece isso entre 8 anos de uso de linux e freebsd.
Procurei algo sobre falhas no ssh mas não achei. vai então o aviso para tomar cuidado.
Vou pegar os logs dos dois gatewayzinho e postar depois pra voces verem a tecnica de brutal force.
ate mais.