+ Responder ao Tópico



  1. #1
    Analista de Suporte em Ti Avatar de rpclanhouse
    Ingresso
    Sep 2008
    Localização
    Suzano SP
    Posts
    409
    Posts de Blog
    10

    Padrão Erros Recorrentes no Log do sistema alguém pode me ajudar ?

    Percebi, que depois de montar o Webproxy, começou a aparecer uns erros no meu Log e estes erros são recorrentes, aparecem a cada segundo .
    "Login failure for user ( aqui vem diversos nomes de usuários ) from 124.161.97.64 via ssh"
    Alguém pode me ajudar ? afinal não sei se há relação entre o webproxy e este erro. sei que significa que está avisando um erro de login de um usuário do ip tal, mas login onde? no meu MK ou o MK está bloqueando alguém de minha rede de acessar este site ?

    Agradeço a todos antecipadamente pela ajuda.

    Ricardo Sobrinho.

  2. #2

    Padrão

    Citação Postado originalmente por rpclanhouse Ver Post
    Percebi, que depois de montar o Webproxy, começou a aparecer uns erros no meu Log e estes erros são recorrentes, aparecem a cada segundo .
    "Login failure for user ( aqui vem diversos nomes de usuários ) from 124.161.97.64 via ssh"
    Alguém pode me ajudar ? afinal não sei se há relação entre o webproxy e este erro. sei que significa que está avisando um erro de login de um usuário do ip tal, mas login onde? no meu MK ou o MK está bloqueando alguém de minha rede de acessar este site ?

    Agradeço a todos antecipadamente pela ajuda.

    Ricardo Sobrinho.
    Amigo isso é mensagem de ataque por SSH. Há duas formas de resolver o problema:

    1 - Desailitar o serviço SSH do Mikrotik (menu ip>service, desabilita ou muda a porta do SSH)

    2 - Bloqueando esse serviço ou usuário no firewall>filter (/ip firewall filter, cria uma regra com chain=input, src.address=124.161.97.64 e action=drop ou chain=input, protocol=tcp, dst-port=22 e action=drop.

    Lembrando que há muitas outras formas de se fazer isso ou mesmo criar critérios para tratar de ataques. Estas são 2 formas simples para solucionar o problema.

  3. #3
    Analista de Suporte em Ti Avatar de rpclanhouse
    Ingresso
    Sep 2008
    Localização
    Suzano SP
    Posts
    409
    Posts de Blog
    10

    Padrão

    Citação Postado originalmente por catvbrasil Ver Post
    Amigo isso é mensagem de ataque por SSH. Há duas formas de resolver o problema:

    1 - Desailitar o serviço SSH do Mikrotik (menu ip>service, desabilita ou muda a porta do SSH)

    2 - Bloqueando esse serviço ou usuário no firewall>filter (/ip firewall filter, cria uma regra com chain=input, src.address=124.161.97.64 e action=drop ou chain=input, protocol=tcp, dst-port=22 e action=drop.

    Lembrando que há muitas outras formas de se fazer isso ou mesmo criar critérios para tratar de ataques. Estas são 2 formas simples para solucionar o problema.
    Muitíssimo obrigado David, graças a pessoas como você, meu Sistema está rodando, e aos poucos, vou ajudando os outros também, pois cada ensinamento que aprendo, passo à diante aqui no fórum.

    só mais uma pergunta, qual a função deste SSh ? eu desabilitando, o que perco ou ganho com isso ? tem algum material sobre isso ?

    Boa semana,
    Ricardo sobrinho.
    Última edição por rpclanhouse; 23-03-2009 às 11:45. Razão: Completar a pergunta.

  4. #4

    Padrão

    Citação Postado originalmente por rpclanhouse Ver Post
    Muitíssimo obrigado David, graças a pessoas como você, meu Sistema está rodando, e aos poucos, vou ajudando os outros também, pois cada ensinamento que aprendo, passo à diante aqui no fórum.

    só mais uma pergunta, qual a função deste SSh ? eu desabilitando, o que perco ou ganho com isso ? tem algum material sobre isso ?

    Boa semana,
    Ricardo sobrinho.
    Olá!

    O ssh, ou Secure Shell é um protocolo de rede que permite a conexão com outro computador na rede tcp/ip, de forma a executar comandos em um dispositivo remoto. algo parecido com o telnet, mas com o direfencial da conexão entre o cliente e o servidor ser criptografada.

    quanto aos ataques por ssh existe uma maneira mais personalizada de se proteger sem bloquear a porta pois é um serviço muito interessante, no meu caso uso o ssh para enviar mudanças para o mikrotik e outros servidores Unix/Linux atreavés do meu gerenciador que utiliza ssh para acesso remoto.
    Segue abaixo um exemplo de blacklist para ssh postado no wiki do Mikrotik:

    /ip firewall filter

    add action=drop chain=input comment="Drop ssh brute forcers" disabled=no dst-port=22 protocol=tcp src-address=!192.168.2.2 src-address-list=ssh_blacklist

    add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=4w2d chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ssh_stage3

    add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ssh_stage2

    add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ssh_stage1

    add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp

    Nas regras acima um host remoto ao tentar acessa seu equipamento irá passar por 3 estágios, sendo que na quarta tentativa de acesso seu ip (atacante) vai para um blacklist que fica em /ip firewall address-list criado pelas regras acima, dessa forma vc poderá manter o serviço ativo sem ser prejudicado por um acesso indevido, os ips dos atacantes é mantido no blacklist por um periodo de 30 dias conforme a opção address-list-timeout=4w2d da segunda regra, e tbm deve ser observado uma exeção que eu adicionei na primeira regra ex: src-address=!192.168.2.2, tive que especificar o meu endereço para eu memso nao ser bloqueado :-)

    Abraços
    Última edição por rrinfor; 23-03-2009 às 13:39.

  5. #5

    Padrão

    Citação Postado originalmente por rrinfor Ver Post
    Olá!

    O ssh, ou Secure Shell é um protocolo de rede que permite a conexão com outro computador na rede tcp/ip, de forma a executar comandos em um dispositivo remoto. algo parecido com o telnet, mas com o direfencial da conexão entre o cliente e o servidor ser criptografada.

    quanto aos ataques por ssh existe uma maneira mais personalizada de se proteger sem bloquear a porta pois é um serviço muito interessante, no meu caso uso o ssh para enviar mudanças para o mikrotik e outros servidores Unix/Linux atreavés do meu gerenciador que utiliza ssh para acesso remoto segue abaixo um exemplo de blacklist para ssh retirando do wiki do Mikrotik:

    /ip firewall filter

    add action=drop chain=input comment="Drop ssh brute forcers" disabled=no dst-port=22 protocol=tcp src-address=!192.168.2.2 src-address-list=ssh_blacklist

    add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=4w2d chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ssh_stage3

    add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ssh_stage2

    add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ssh_stage1

    add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp

    Nas regras acima um host remoto ao tentar acessa seu equipamento irá passar por 3 estágios, sendo que na quarta tentativa de acesso seu ip (atacante) vai para um blacklist que fica em /ip firewall address-list criado pelas regras acima, dessa forma vc poderá manter o serviço ativo sem ser prejudicado por um acesso indevido, os ips dos atacantes é mantido no blacklist por um periodo de 30 dias conforme a opção address-list-timeout=4w2d da segunda regra, e tbm deve ser observado uma exeção que eu adicionei na primeira regra ex: src-address=!192.168.2.2, tive que especificar o meu endereço para eu memso nao ser bloqueado :-)

    Abraços
    Caso se use o ssh somente interno, pode bloquear ele somenta na porta do link. Como falei há pelo menos meia dúzias de formas de bloquear ataques de ssh... Qualquer dúvida, estamos ae...

  6. #6

    Padrão

    Citação Postado originalmente por catvbrasil Ver Post
    Caso se use o ssh somente interno, pode bloquear ele somenta na porta do link. Como falei há pelo menos meia dúzias de formas de bloquear ataques de ssh... Qualquer dúvida, estamos ae...

    Correto!
    As possibilidades são diversas, e se o acesso é somente local, o melhor é bloquer a porta para o link como vc mesmo disse.

    Abraços