galera olha o meu log no anexo ..
será que tem algum racker tentando me rackear?
http://cybernetweb.vilabol.uol.com.br/images/log.jpg
galera olha o meu log no anexo ..
será que tem algum racker tentando me rackear?
http://cybernetweb.vilabol.uol.com.br/images/log.jpg
Última edição por cynernet; 06-05-2008 às 10:02.
isso é alguem querendo logar via SSH e nao consegue esse ip é da makina que ta tentando logar no seu mk.
está acontecendo constantemente
nao sei o que fazer
nesse exato momento olhei o log e outro tentou envadir :/
a cada hora com um ip diferente
dei ping e todos esses ip estao ativos
alguem me da uma ajuda de como posso proceder
pra denuncia ou coisa assim
http://cybernetweb.vilabol.uol.com.br/images/log2.jpg
eu li uma veis em um site nao me lembro mais
que tem como saber tendo o ip a origem dele
por ex se ele for speedy da pra saber até quem he o assinante do speedy
e assim chega até a pessoa
mais eu nao sei como fazer isso
se alguem aki saber por gentileza posta aki ..
obrigado .
em ip firewall filter rule
acessar winbox somente eu
chain=input protocol=tcp dst-port=8291 src-mac-address=xx:xx:xx:xx:xx:xx action=accept
bloquear winbox em todos
chain=input protocol=tcp dst-port=8291 action=drop
em XX:XX:XX:XX:XX:XX vc especifica o mac da makina que quer que acecessar...
a primeira regra ela libera o acesso somente ao pc que vc especifica o mac..
a segunda ela bloqueia a porta do winbox para todos entao so a makina q vc liberou ma primeira regra tera aceeso via winbox...
ou faça um DROP na entrada da interface especificando esse ip
cara..
primeiro: leia o tópico abaixo!
https://under-linux.org/forums/assun...niciantes.html
Segundo: você precisa definir uma política de segurança.
Com algumas perguntas e respostas poderemos saber facilmente como proceder para parte da política, vamos levar em consideração somente o caso do ssh.
01 - Você acessa o mikrotik por ssh?
Não? - desabilite o ssh no mikrotik.
sim? - vá para a pergunta 02.
02 - há necessidade do acesso ao ssh ficar disponível para qualquer IP?
não? - defina qual IP terá acesso e permita que somente ele o faça.
sim? - coloque uma senha mais reforçada e mude a porta do ssh.
política de segurança não precisa ser complexa.
Primeiramente eu gostaria de agradecer o ThyagoComputer pela grande ajuda, que pode ser útil para muitos outros que possam vir a ter esse mesmo tipo de problema que o meu.
ThyagoComputer você é nota 10, muito obrigado mesmo e se precisa de alguma coisa pode conta comigo.
E o lucianogf eu gostaria de agradecer também pela dica, com certeza o fórum fica bem melhor quando usado a ortografia correta e perguntas objetivas e claras facilita e muito a quem nos poderá ajuda. Confesso que na hora que vi os logs fiquei apavorado e corri para o fórum que sei que tem pessoas expert e que poderia me ajuda.
E sem duvida obtive a ajuda necessária.
Quanto a acessar o microtik pelo ssh, eu não acesso, somente pelo winbox, irei procura no fórum pra ver se eu acho alguma coisa ensinando, pois sou leigo ainda com microtik e não sei quase nada.
Desde já muito obrigado amigos pela ajuda que já me foi de ótimo tamanho.
obrigado amigo estamos aki para isso, para ajudar e ser ajudado.
etao como vc nao acessa via SSH desative.
vá em IP=> services e desative SSH ou mude a porta..
valewwwwwwww...vc tambem pode desativar o servidor www que é a pagina webbox.
sempre é bom ter mais de uma forma de acesso, em vez de desativar o ssh, defina para que o serviço seja acessado apenas por um determinado IP, desta forma se algum dia ocorrer algum problema com o acesso via winbox ainda terá o ssh.
telnet sim é uma coisa que deve ser desabilitada, pois em muita falta de segurança.
isso mesmo ou entao auterando porta.
falowww
nem alterar a porta adianta.. com um simples scan ele acha ela novamente... o ideal eh o seguinte:
em IP >> FIREWALL >> ADDRESS LIST
crie uma address list chamada: acesso_ssh assim:
Código :/ip firewall address-list add address=192.168.0.10 comment="" disabled=no list=acesso_ssh add address=192.168.0.8 comment="" disabled=no list=acesso_ssh add address=192.168.0.22 comment="" disabled=no list=acesso_ssh add address=200.200.200.0/30 comment="" disabled=no list=acesso_ssh
e nela va cadastrando os ips que podem acessar ssh ... depois crie uma regra assim:
Código :/ip firewall filter add action=drop chain=input comment="" disabled=no dst-port=22 protocol=tcp src-address-list=!acesso_ssh
pronto.. o ip que tiver na lista, consegue acessar, o que nao tiver.. nao vai nem conseguir ver a porta 22 aberta
galera vocês são de mais.
com a juda de todos agora meu servidor está mais seguro e posso fica mais tranquilo.
obrigado a todos de coração.
Cara nem esquenta isso eh um robo,provavelmente da EUA tentando invadir, mas ele tenta com o usuario ROOT e o MK usa o user admin, se vc nao ker q isso aconteça mais vai abre o winbox vai em IP > Sevices lah dentro tem a opcao de ssh muda da porta 22 para 2002 e pronto vc esta seguro...
Espero ter ajudado...
Para complementar o que o Alexandre disse, crie as regras de Port Knocking, onde quem bate na porta na sequência correta, será adicionado na AddressList liberados.
http://wiki.mikrotik.com/wiki/Securi...outerOs_Router
Lembrando que esta opção de Port Knocking vale para qualquer acesso, inclusive winbox e pptp.
Amigo Cynernet,
Va em ip -service e desabilita a porta ssh ou va em ip firewall e cria uma regra pra bloquear este ip. Aki desabilitei o ssh.
galera olha essa imagem por favor..
o que seria esse "user admin logged in via local"
porque eu so logo via winbox sempre e agora apareceu isso.
http://cybernetweb.vilabol.uol.com.br/images/Sem.jpg
e outra coisa eu ja desabilitei todos os serviços e mesmo assim alguem ainda continua tentando loga via ssh.
nos log continua mostrando.
http://cybernetweb.vilabol.uol.com.br/images/ip.jpg
será que posso fica sussegado ?
ou tem alguma coisa erada ?
me da uma ajuda galera.
obrigado.