Boa tarde companheiros...
Venho por meio desta, alertar (ou pelo menos tentar) aos usuários sobre uma atividade que venho observando em alguns dos meus servers desde o final de setembro.
Comecei a perceber uma quantidade enorme de tentativas de logins via SSH em dois servidores que administro, vindos de endereços distintos dos quatro cantos do globo. (tentativas tão obstinadas que chegavam a sobrecarregar os hosts, degradando a suas performances durante os ataques)
Embora (aparentemente) nenhuma das tentativas tenha logrado êxito, geraram uma enorme dor de cabeça, prejudicando vários usuários dos serviços daqueles hosts.
É óbvio que reforcei meu perímetro, incrementanto regras no snort, restringindo mais as políticas de logins nos servers, analisando os reports do tripware (atitudes reativas normais) e é claro, tentei descobrir por alto de onde partiam tais ataques... Eis a minha lista:
[list]64.29.19.145 - nerjaweb - Espanha
61.237.240.19 - China RailWay Telecomm - Pequim
61.221.182.173 - unalis.com.tw
61.100.185.202 - GNC-IDC Enterprisenet - SEOUL - KOREA
212.14.253.236 - Palestine Telecomm - Palestina
203.95.1.22 - STN-CN - Shangai - China
64.109.111.229 - ameritech.net - dsl ISP - USA
66.88.13.142 - unknow address[/list:u]
China, Korea, Taywan, USA, Espanha, Palestina... todos de provedores dsl, ou de grandes corporações...
Verifiquem também seus hosts...
vejam um extrato dos meus logs:
Código :Sep 28 18:10:15 abutre sshd[3222]: Illegal user test from 61.221.182.173 Sep 28 18:10:18 abutre sshd[3224]: Illegal user guest from 61.221.182.173 Sep 28 18:10:25 abutre sshd[3226]: Illegal user admin from 61.221.182.173 Sep 28 18:10:28 abutre sshd[3228]: Illegal user admin from 61.221.182.173 Sep 28 18:10:31 abutre sshd[3230]: Illegal user user from 61.221.182.173 Sep 28 18:10:37 abutre sshd[3232]: Failed password for root from 61.221.182.173 port 61255 ssh2 Sep 28 18:10:42 abutre sshd[3234]: Failed password for root from 61.221.182.173 port 60059 ssh2 Sep 28 18:10:51 abutre sshd[3236]: Failed password for root from 61.221.182.173 port 57343 ssh2
T+