- tentativas de login ssh
+ Responder ao Tópico
-
tentativas de login ssh
Pessoal,
Meu servidor está sendo bombardeado por tentativas de login via ssh vindas de um número IP da internet.
Gostaria da opinião dos mestres no assunto para saber qual medida devo tomar. O problema é q está derrubando meu link ADSL.
Obrigado!
Valois
-
Re: tentativas de login ssh
tente usar outro terminal para entrar no ssh ... entre nele com o seguinte comando
#ssh ip_do_server -l root
se nao der tente:
#ssh -X -C -p 22 -l root ip_do_server; sleep 5
ve ai se dar!!! valew!!!
-
Re: tentativas de login ssh
Tyago,
Não entendi.
#ssh ip_do_server -l root
o ip_do server é o IP do cara q tá tentando me acessar?
Se for, ele abre o ssh e pede a senha do root.
Favor ser mais claro e obrigado pela ajuda!
Valois
-
Re: tentativas de login ssh
Colega esse bombardeio de logins é feito por bots que estão instalados em maquinas comprometidas difundidas pela internet, sao autenticos exercitos de bots quando descobrem um login válido, a maquina na qual a autenticação foi feita com sucesso, passa a pertencer a esse exercito, xegam a ser milhares que posteriormente podem ser usadas para ataques DDoS e companhia..
se voce precisa de acessar o seu servidor pela internet, sugiro que vc instale um programa chamado "sshdfilter" ele trata do assunto
caso vc utilize apenas o ssh atraves da rede interna
utilize o iptables para bloquear o trafego vindo do link ADSL direito á porta do ssh (22)
iptables -A INPUT -p tcp -i eth0 --dport 22 -j DROP
troque a eth0 pela interface que tem o link ADSL
Um abraço[][]
-
Re: tentativas de login ssh
Hum!
Endendi. Eu costumo acessar meu servidor via internet como Putty.
Tem algum problema?
Valew!
-
Re: tentativas de login ssh
Então sugiro vc a instalar o tal programa chamado "sshdfilter"
ele vai bloquear os IP's que tenham tido uma autenticação falhada no sshd
e aconselho vc tb a desabilitar o login root via ssh, tal como escolher boas passwords...
com isso, a coisa fica complicada para o lado negro
Um abraço[]
-
Re: tentativas de login ssh
Kra pode começar mudando a porta do ssh e bloqueando o acesso de root:
Mude essas linas em /etc/ssh/sshd_config
Port 2733 #Exemplo de porta, em vez da porta 22 vai ser a q vc definiu agora
PermitRootLogin no
Dessa maneira qd vc for logar no ssh, vc deve mudar a porta e logar com um usuario limitado e depois o usuario root.
Outra coisa interessante tb e vc instalar um IDS, eu fiz um esqueminha basico com o snort:
http://www.tftecnologia.com.br/ids.zip
-
Re: tentativas de login ssh
eai, kra primeira coisa... vai no /etc/ssh/ edita o sshd_config e altera a porta de acesso para ssh.
depois, no mesmo arquivo... no final tem a linha:
"PermiRootLogin yes"
crie um usuário qualquer, apenas para ter acesso ssh, vá nessa linha e modifique de yes para no. E na linha abaixo onde seta a porta do ssh vc insere:
AllowUsers USUARIO-QUE-VOCE-ACABOU-DE-CRIAR
entedeu??
-
Re: tentativas de login ssh
tipo outra coisa tu ja coloco algum tipo de seguranca pro ssh como ele pedi uma contra senha
tipo se se num coloco ai vai uma dica okk
edite o arquivo vi .bash_profile
e coloque estas linhas
./eu.sh
if [ -e sou_eu.txt ] ; then
echo "Acesso Autorizado Obrigado "
rm -f sou_eu.txt
else
echo "Acesso Negado Tente Novamente"
logout
fi
e crie o arquivo eu.sh e coloque estas linhas
#!/bin/bash
echo "Contra Senha ??"
read resp
if [ "$resp" == "senha" ]; then
touch sou_eu.txt
fi
que ja da uma ajudinha no ssh que ai tipo pra uma pessoa quebra a sua senha pode ate se que ocorra + uma contra senha se coloca uma coisa nada a ve tipo qualquer coisa mesmo
ok
espero ter ajudado flowww
-
Bloqueie o ip do cara
Essa regra bloqueia todos pacotes o ip que esta tentado acessar seu ssh
iptables -A INPUT -p tcp -s <ip_do_cara> --dport 22 -j DROP
Essa regra bloqueia só a porta 22 (ssh)
iptables -A INPUT -p tcp -s <IP_DO_CARA> -j DROP
Essa bloqueia todos pacotes deste ip
faça um script, e ponha pra dar boot na inicialização
-
uma medida simples q evita o ataque dos bots pelo ssh é trocar a porta de conexão,,eu jah sofri tb esse tipo de ataque ,troquei a porta do ssh e mudei o usuário de conexão,misturando letras e numeros,e me livrei(destes pelo menos)
eu uso uma porta alta,a 2201 ..
-
Saberia dizer quais foram os ips