+ Responder ao Tópico



  1. #1

    Padrão Tentativa de invasão

    Pessoal,
    Logo agora que o hotspot do MK ficou uma beleza, apareceu uma tentativa de invasão, eu acho.

    A mensagem que aparece cerca de 400 vezes é:

    system critical error, login failure for user.....( aparece cada vez com nome diferente) from 203.92.190.7 via SSH.

    Isto é força bruta?

    Pelo IP dá para tentar achar quem é?
    Última edição por 1929; 05-04-2008 às 20:21.

  2. #2
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Vc usa SSH para acessar o sistema? Se não, desative o serviço e durma tranquilo.



  3. #3

    Padrão

    sim... isso é ataque por força bruta.

    como sugeriu o Sergio, se você não usa o serviço desabilite-o, caso você o use, terá que melhorar sua política de segurança.

  4. #4

    Padrão

    Vê só o problema quando o cara é crú em MK, como o meu caso.

    Uma semana atrás quando o MK funcionou só por 2 horas, aconteceu a mesma coisa. Depois não apareceu porque o servidor não configurava.
    Hoje que acertei a configuração o sujeito voltou a atacar.

    Para esta situação a solução é bem simples.
    E este ip que aparece pode ser também falso? Tem como eu achar ele?

    Vou fazer isso que voces sugeriram!

    Obrigado!



  5. #5
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Não vá perder seu tempo procurando sobre este IP (vem da China, se não for nenhum spoof) pois trata-se normalmente de robôs que tem por tarefa fazer isso (ataque por FB).

  6. #6
    Mikrotik inSide Avatar de luizbe
    Ingresso
    Sep 2005
    Localização
    Governador Valadares
    Posts
    1.212
    Posts de Blog
    1

    Padrão

    aba
    IP > FIREWALL > FILTER

    clica em +

    chain: input
    protocol: tcp ip
    dst. port: 20-24
    action: drop

    ;]



  7. #7

    Padrão

    Citação Postado originalmente por luizbe Ver Post
    aba
    IP > FIREWALL > FILTER

    clica em +

    chain: input
    protocol: tcp ip
    dst. port: 20-24
    action: drop

    ;]
    Caro Luiz,

    Vou aproveitar esta sua dica para aprender mais.
    Exatamente o que faz esta regra?
    Ela bloqueia endereços IP de entrar nestas portas?

  8. #8
    Mikrotik inSide Avatar de luizbe
    Ingresso
    Sep 2005
    Localização
    Governador Valadares
    Posts
    1.212
    Posts de Blog
    1

    Padrão

    bloqueia todos os ip's de entrarem nessas portas.

    se você setar o ip em
    Src. Address só bloqueia aquele ip

    lembrando que você deve setar a mascara de subrede apos o ip no src. adress..
    exemplo bloquear somente o ip 200.200.200.4

    o src. addres fica assim:
    src. address: 20.200.200.4/32

    se quiser bloquear do .1 ao .254 use
    src. address 200.200.200.0/24

    se quiser bloquear 2 class..
    src. address: 200.200.0.0/16

    ;}

    see ya.




  9. #9

    Padrão

    Citação Postado originalmente por luizbe Ver Post
    bloqueia todos os ip's de entrarem nessas portas.

    se você setar o ip em
    Src. Address só bloqueia aquele ip

    lembrando que você deve setar a mascara de subrede apos o ip no src. adress..
    exemplo bloquear somente o ip 200.200.200.4

    o src. addres fica assim:
    src. address: 20.200.200.4/32

    se quiser bloquear do .1 ao .254 use
    src. address 200.200.200.0/24

    se quiser bloquear 2 class..
    src. address: 200.200.0.0/16

    ;}

    see ya.

    Perfeito! Entendi

    E se aparecer outra vez com outra classe de Ip, eu posso ir acrescentando nas regras?

    E se o invasor tentar com a mesma classe de Ip que eu uso, aí não vai travar também a minha rede se eu acrescentar?

  10. #10

    Padrão

    você pode criar uma regra que permita apenas uma conexão ssh por minuto, tentativas acima desse valor vão para um addfress-list, e você bloqueia tudo que está nessa lista.



  11. #11

    Padrão

    Citação Postado originalmente por lucianogf Ver Post
    você pode criar uma regra que permita apenas uma conexão ssh por minuto, tentativas acima desse valor vão para um addfress-list, e você bloqueia tudo que está nessa lista.
    Acho que vai valer a pena todo o esforço que fiz até agora para fazer funcionar o MK. Tem recurso para tudo, tchê!

    Esta regra eu faço onde, e como, Luciano?

  12. #12

    Padrão

    Cara, acrescenta estas regras em teu firewall:
    IP/Firewall/EM Filter Rules

    add action=drop chain=input comment="DROP TELNET SSH FTP" disabled=no \
    dst-port=21-23 protocol=tcp

    Se usa porta do proxy for 8080, se não muda abaixo para a que vc usa:

    add action=drop chain=input comment="" disabled=no dst-port=8080 \
    in-interface=link protocol=tcp

    outros controle bons:

    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
    disabled=no protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="SYN/FIN scan" disabled=no \
    protocol=tcp tcp-flags=fin,syn
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="SYN/RST scan" disabled=no \
    protocol=tcp tcp-flags=syn,rst
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" disabled=no \
    protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="ALL/ALL scan" disabled=no \
    protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="NMAP NULL scan" disabled=no \
    protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
    add action=drop chain=input comment="dropping port scanners" disabled=no \
    src-address-list="port scanners"



  13. #13

    Padrão

    Acompanhado o topico fiquei bastante interessado em desativar o serviço SSH mas não sei como proceder, o amigo Sergio poderia ajudar nessa tarefa?. Desde já agradeço.

  14. #14

    Padrão

    Citação Postado originalmente por Mirandapb Ver Post
    Acompanhado o topico fiquei bastante interessado em desativar o serviço SSH mas não sei como proceder, o amigo Sergio poderia ajudar nessa tarefa?. Desde já agradeço.
    se você quer desativar o serviço é só ir em IP > services, selecionar SSH e desativar...



  15. #15

    Padrão

    Ok Luciano, sao coisas simples, mas para o leigo parece complicado.
    Valeu Kara está agradecido e bom inicio de semana.

  16. #16

    Padrão

    A melhor maneira de assegurar é desativar o ssh, porém se vc usa o ssh para acessar, voce pode mudar a porta, pois na maioria dos casos os spoof procura ssh na porta 22. Mude a porta e veja o que ocorre, se parar tudo bem senao desabilita o ssh.

    Uma braço.