+ Responder ao Tópico



  1. #1

    Padrão Meu servidor mikrotik, sofrendo ataque...

    Pessoal,

    Acessei ontem meu servidor mikrotik, e verifiquei na área de logs, que alguem estava tentando fazer loguin no meu servidor, ele usava varios usuarios diferentes, mas, nenhum era meu usuario real...

    A pessoa que tentava invadir vinha de fora, ou seja, da internet para o servidor...

    Renovei o ip do servidor, mas, não funcionou, o ataque continuava...

    Alguem sabe como que podem saber que sou eu para continuar me atacando mesmo com outro IP?

    Como que bloqueio logins externos? O que posso fazer para me defender melhor?

    Meu modem adsl esta funcionando como bridge, o mikrotik que faz login e todo resto?

  2. #2

    Padrão

    Citação Postado originalmente por claudecir Ver Post
    Pessoal,

    Acessei ontem meu servidor mikrotik, e verifiquei na área de logs, que alguem estava tentando fazer loguin no meu servidor, ele usava varios usuarios diferentes, mas, nenhum era meu usuario real...

    A pessoa que tentava invadir vinha de fora, ou seja, da internet para o servidor...

    Renovei o ip do servidor, mas, não funcionou, o ataque continuava...

    Alguem sabe como que podem saber que sou eu para continuar me atacando mesmo com outro IP?

    Como que bloqueio logins externos? O que posso fazer para me defender melhor?

    Meu modem adsl esta funcionando como bridge, o mikrotik que faz login e todo resto?
    Amigo vc já tentou mudar as portas do seu MK, Tipo SSHH, Telnet, Web, antes eu tmb tinha este problema de ataques foi somente mudar as porta que foi resolvido.

  3. #3

    Padrão

    Era só eu ligar meu servidor e aparecia em poucos minutos no log o ataque via ssh.
    Resolvi desativando o SSH.

  4. #4

    Padrão

    Citação Postado originalmente por Minasnet Ver Post
    Amigo vc já tentou mudar as portas do seu MK, Tipo SSHH, Telnet, Web, antes eu tmb tinha este problema de ataques foi somente mudar as porta que foi resolvido.

    Boa idéia valeuu...

  5. #5

    Padrão

    Citação Postado originalmente por claudecir Ver Post
    Pessoal,

    Acessei ontem meu servidor mikrotik, e verifiquei na área de logs, que alguem estava tentando fazer loguin no meu servidor, ele usava varios usuarios diferentes, mas, nenhum era meu usuario real...

    A pessoa que tentava invadir vinha de fora, ou seja, da internet para o servidor...

    Renovei o ip do servidor, mas, não funcionou, o ataque continuava...

    Alguem sabe como que podem saber que sou eu para continuar me atacando mesmo com outro IP?

    Como que bloqueio logins externos? O que posso fazer para me defender melhor?

    Meu modem adsl esta funcionando como bridge, o mikrotik que faz login e todo resto?
    Olá!

    Referente aos ataques por ssh existe uma maneira mais personalizada de se proteger sem bloquear a porta pois é um serviço muito interessante, no meu caso uso o ssh para enviar mudanças para o mikrotik e outros servidores Unix/Linux atreavés do meu gerenciador que utiliza ssh para acesso remoto, sem falar que sempre estou acessando meus server fora da minha rede.
    Segue abaixo um exemplo de blacklist para ssh postado no wiki do Mikrotik:

    /ip firewall filter

    add action=drop chain=input comment="Drop ssh brute forcers" disabled=no dst-port=22 protocol=tcp src-address=!192.168.2.2 src-address-list=ssh_blacklist

    add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=4w2d chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ssh_stage3

    add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ssh_stage2

    add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ssh_stage1

    add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp

    Nas regras acima um host remoto ao tentar acessa seu equipamento irá passar por 3 estágios, sendo que na quarta tentativa de acesso seu ip (atacante) vai para um blacklist que fica em /ip firewall address-list criado pelas regras acima, dessa forma vc poderá manter o serviço ativo sem ser prejudicado por um acesso indevido, os ips dos atacantes é mantido no blacklist por um periodo de 30 dias conforme a opção address-list-timeout=4w2d da segunda regra, e tbm deve ser observado uma exeção que eu adicionei na primeira regra ex: src-address=!192.168.2.2, tive que especificar o meu endereço para eu memso nao ser bloqueado :-)

    Abraços

  6. #6

    Padrão

    Existem vários métodos para barrar ataques por ssh, um deles é usar "chave criptográfica" e o mais comum sem dúvidas é vc mudar a porta padrão do serviço ssh. O que deve estar acontecendo com vc é o seguinde, tem alguém rodando alguma ferramenta automática que esta realizando um ataque de força bruta na range de IP da sua servidora de acesso a Internet.
    Valew...

    obs: Apenas mude a porta padrãopor enquanto, vai ajudar muito.

  7. #7

    Padrão

    Citação Postado originalmente por osvaldohp Ver Post
    Existem vários métodos para barrar ataques por ssh, um deles é usar "chave criptográfica" e o mais comum sem dúvidas é vc mudar a porta padrão do serviço ssh. O que deve estar acontecendo com vc é o seguinde, tem alguém rodando alguma ferramenta automática que esta realizando um ataque de força bruta na range de IP da sua servidora de acesso a Internet.
    Valew...

    obs: Apenas mude a porta padrãopor enquanto, vai ajudar muito.
    Eu ja sofri ataque deste tipo, mas foi pelo link de internet. Dai não tem criptografia que barre. Desativei o SSH no MK.