Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão isso he coisa de racker???

    galera olha o meu log no anexo ..
    será que tem algum racker tentando me rackear?


    http://cybernetweb.vilabol.uol.com.br/images/log.jpg
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         logsss.jpg
Visualizações:	721
Tamanho: 	107,0 KB
ID:      	2123  
    Última edição por cynernet; 06-05-2008 às 10:02.

  2. #2

    Padrão

    isso é alguem querendo logar via SSH e nao consegue esse ip é da makina que ta tentando logar no seu mk.

  3. #3

    Padrão

    Citação Postado originalmente por ThyagoComputer Ver Post
    isso é alguem querendo logar via SSH e nao consegue esse ip é da makina que ta tentando logar no seu mk.
    tem alguma coisa pra eu tenta impedir isso ?
    pq se aparece o ip deve ter algo que posso fazer nao he?
    afinal ele esta tentando invadir o que deve ser algum tipo de crime ou coisa parecida .

  4. #4

    Padrão

    está acontecendo constantemente
    nao sei o que fazer
    nesse exato momento olhei o log e outro tentou envadir :/
    a cada hora com um ip diferente
    dei ping e todos esses ip estao ativos
    alguem me da uma ajuda de como posso proceder
    pra denuncia ou coisa assim
    http://cybernetweb.vilabol.uol.com.br/images/log2.jpg

  5. #5
    Ricardo Romero Avatar de ricromero
    Ingresso
    Apr 2008
    Localização
    São Paulo / Interior
    Posts
    923

    Padrão

    Citação Postado originalmente por cynernet Ver Post
    está acontecendo constantemente
    nao sei o que fazer
    nesse exato momento olhei o log e outro tentou envadir :/
    a cada hora com um ip diferente
    dei ping e todos esses ip estao ativos
    alguem me da uma ajuda de como posso proceder
    pra denuncia ou coisa assim
    http://cybernetweb.vilabol.uol.com.br/images/log2.jpg


    Dá um drop no IP.

  6. #6

    Padrão

    Citação Postado originalmente por ricromero Ver Post
    Dá um drop no IP.

    teria como vc da um ex: de como da um drop no ip?
    isso he pelo mk que faz?

  7. #7

    Padrão

    eu li uma veis em um site nao me lembro mais
    que tem como saber tendo o ip a origem dele
    por ex se ele for speedy da pra saber até quem he o assinante do speedy
    e assim chega até a pessoa
    mais eu nao sei como fazer isso
    se alguem aki saber por gentileza posta aki ..
    obrigado .

  8. #8

    Padrão

    em ip firewall filter rule
    acessar winbox somente eu
    chain=input protocol=tcp dst-port=8291 src-mac-address=xx:xx:xx:xx:xx:xx action=accept

    bloquear winbox em todos
    chain=input protocol=tcp dst-port=8291 action=drop

    em XX:XX:XX:XX:XX:XX vc especifica o mac da makina que quer que acecessar...

    a primeira regra ela libera o acesso somente ao pc que vc especifica o mac..
    a segunda ela bloqueia a porta do winbox para todos entao so a makina q vc liberou ma primeira regra tera aceeso via winbox...

  9. #9

    Padrão

    ou faça um DROP na entrada da interface especificando esse ip

  10. #10

    Padrão

    cara..

    primeiro: leia o tópico abaixo!

    https://under-linux.org/forums/assun...niciantes.html

    Segundo: você precisa definir uma política de segurança.

    Com algumas perguntas e respostas poderemos saber facilmente como proceder para parte da política, vamos levar em consideração somente o caso do ssh.

    01 - Você acessa o mikrotik por ssh?
    Não? - desabilite o ssh no mikrotik.
    sim? - vá para a pergunta 02.

    02 - há necessidade do acesso ao ssh ficar disponível para qualquer IP?
    não? - defina qual IP terá acesso e permita que somente ele o faça.
    sim? - coloque uma senha mais reforçada e mude a porta do ssh.

    política de segurança não precisa ser complexa.

  11. #11

    Padrão

    Primeiramente eu gostaria de agradecer o ThyagoComputer pela grande ajuda, que pode ser útil para muitos outros que possam vir a ter esse mesmo tipo de problema que o meu.
    ThyagoComputer você é nota 10, muito obrigado mesmo e se precisa de alguma coisa pode conta comigo.
    E o lucianogf eu gostaria de agradecer também pela dica, com certeza o fórum fica bem melhor quando usado a ortografia correta e perguntas objetivas e claras facilita e muito a quem nos poderá ajuda. Confesso que na hora que vi os logs fiquei apavorado e corri para o fórum que sei que tem pessoas expert e que poderia me ajuda.
    E sem duvida obtive a ajuda necessária.
    Quanto a acessar o microtik pelo ssh, eu não acesso, somente pelo winbox, irei procura no fórum pra ver se eu acho alguma coisa ensinando, pois sou leigo ainda com microtik e não sei quase nada.
    Desde já muito obrigado amigos pela ajuda que já me foi de ótimo tamanho.

  12. #12

    Padrão

    obrigado amigo estamos aki para isso, para ajudar e ser ajudado.
    etao como vc nao acessa via SSH desative.
    vá em IP=> services e desative SSH ou mude a porta..
    valewwwwwwww...vc tambem pode desativar o servidor www que é a pagina webbox.

  13. #13

    Padrão

    sempre é bom ter mais de uma forma de acesso, em vez de desativar o ssh, defina para que o serviço seja acessado apenas por um determinado IP, desta forma se algum dia ocorrer algum problema com o acesso via winbox ainda terá o ssh.

    telnet sim é uma coisa que deve ser desabilitada, pois em muita falta de segurança.

  14. #14

    Padrão

    isso mesmo ou entao auterando porta.
    falowww

  15. #15

    Padrão

    nem alterar a porta adianta.. com um simples scan ele acha ela novamente... o ideal eh o seguinte:

    em IP >> FIREWALL >> ADDRESS LIST

    crie uma address list chamada: acesso_ssh assim:
    Código :
    /ip firewall address-list 
    add address=192.168.0.10 comment="" disabled=no list=acesso_ssh
    add address=192.168.0.8 comment="" disabled=no list=acesso_ssh
    add address=192.168.0.22 comment="" disabled=no list=acesso_ssh
    add address=200.200.200.0/30 comment="" disabled=no list=acesso_ssh

    e nela va cadastrando os ips que podem acessar ssh ... depois crie uma regra assim:


    Código :
    /ip firewall filter 
    add action=drop chain=input comment="" disabled=no dst-port=22 protocol=tcp src-address-list=!acesso_ssh

    pronto.. o ip que tiver na lista, consegue acessar, o que nao tiver.. nao vai nem conseguir ver a porta 22 aberta

  16. #16

    Padrão

    galera vocês são de mais.
    com a juda de todos agora meu servidor está mais seguro e posso fica mais tranquilo.
    obrigado a todos de coração.

  17. #17

    Lightbulb Nem esquenta

    Cara nem esquenta isso eh um robo,provavelmente da EUA tentando invadir, mas ele tenta com o usuario ROOT e o MK usa o user admin, se vc nao ker q isso aconteça mais vai abre o winbox vai em IP > Sevices lah dentro tem a opcao de ssh muda da porta 22 para 2002 e pronto vc esta seguro...

    Espero ter ajudado...

  18. #18
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Para complementar o que o Alexandre disse, crie as regras de Port Knocking, onde quem bate na porta na sequência correta, será adicionado na AddressList liberados.

    http://wiki.mikrotik.com/wiki/Securi...outerOs_Router

    Lembrando que esta opção de Port Knocking vale para qualquer acesso, inclusive winbox e pptp.

  19. #19

    Padrão

    Amigo Cynernet,

    Va em ip -service e desabilita a porta ssh ou va em ip firewall e cria uma regra pra bloquear este ip. Aki desabilitei o ssh.

  20. #20

    Padrão

    galera olha essa imagem por favor..
    o que seria esse "user admin logged in via local"
    porque eu so logo via winbox sempre e agora apareceu isso.

    http://cybernetweb.vilabol.uol.com.br/images/Sem.jpg


    e outra coisa eu ja desabilitei todos os serviços e mesmo assim alguem ainda continua tentando loga via ssh.
    nos log continua mostrando.

    http://cybernetweb.vilabol.uol.com.br/images/ip.jpg

    será que posso fica sussegado ?
    ou tem alguma coisa erada ?
    me da uma ajuda galera.
    obrigado.