+ Responder ao Tópico



  1. Boa noite, se alguém já teve uma ocorrência semelhante a esta poderia me ajudar me falando do que se trata e como faço para que isto pare? Imagem em anexo.

    Bom amigos pesquisando pelo fórum encontrei esse post e utilizei ele Proteção do Servidor FTP do Mikrotik
    só sei de uma coisa parou de ficar logando nesse post tem o script que eu utilizei, caso mais alguem tenha um problema parecido com o meu por favor me diga o o script que utilizei foi este

    Código :
    /ip firewall filter add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="Drop FTP brute forcers" disabled=no
    /ip firewall filter add chain=input protocol=tcp connection-state=established action=accept comment="Allow packets belonging to existing connections" disabled=no
    /ip firewall filter add chain=input connection-state=related action=accept comment="Allow packets related to existing connections" disabled=no
    /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=safe action=accept comment="Allow SSH safe hosts" disabled=no
    /ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="Drop SSH brute forcers" disabled=no
    /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="SSH brute forcers blacklisting" disabled=no
    /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="SSH brute forcers the third stage" disabled=no
    /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="SSH brute forcers the second stage" disabled=no
    /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="SSH brute forcers the first stage" disabled=no
    /ip firewall filter add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=safe action=accept comment="Allow WinBox safe hosts" disabled=no
    /ip firewall filter add chain=input protocol=tcp dst-port=8291 src-address-list=wb_blacklist action=drop comment="Drop WinBox brute forcers" disabled=no
    /ip firewall filter add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=wb_stage3 action=add-src-to-address-list address-list=wb_blacklist address-list-timeout=10d comment="WinBox brute forcers blacklisting" disabled=no
    /ip firewall filter add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=wb_stage2 action=add-src-to-address-list address-list=wb_stage3 address-list-timeout=1m comment="WinBox brute forcers the third stage" disabled=no
    /ip firewall filter add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=wb_stage1 action=add-src-to-address-list address-list=wb_stage2 address-list-timeout=1m comment="WinBox brute forcers the second stage" disabled=no
    /ip firewall filter add chain=input protocol=tcp dst-port=8291 connection-state=new action=add-src-to-address-list address-list=wb_stage1 address-list-timeout=1m comment="WinBox brute forcers the first stage" disabled=no
    /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=accept comment="Allow SSH" disabled=no
    /ip firewall filter add chain=input protocol=tcp dst-port=8291 connection-state=new action=accept comment="Allow WinBox" disabled=no
    /ip firewall filter add chain=input protocol=tcp dst-port=20-21 connection-state=new action=accept comment="Allow FTP" disabled=no
    /ip firewall filter add chain=input protocol=tcp dst-port=1337 action=add-src-to-address-list address-list=knock address-list-timeout=15s comment="Port knocking the first stage" disabled=no 
    /ip firewall filter add chain=input protocol=tcp dst-port=7331 src-address-list=knock action= add-src-to-address-list address-list=safe address-list-timeout=15m comment="Port knocking whitelisting" disabled=no
    /ip firewall filter add chain=input action=drop comment="Drop everything else"
    /ip firewall filter add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m comment="Allow only 10 FTP login incorrect answers per minute" disabled=no
    /ip firewall filter add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h comment="FTP brute forcers blacklisting" disabled=no
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         printwinbox.jpg
Visualizações:	143
Tamanho: 	341,5 KB
ID:      	4614  
    Última edição por wtabr; 15-06-2009 às 09:45.

  2. Isto é um brutal force na porta SSH (22).

    São robôs que ficam fazendo tentativas de login e senhas para acesso em computadores e servidores.

    Não entendi o que voce citou, se foi depois de colocar as regras pararam os ataques ou se mesmo com as regras continua mostrando nos logs as falhas.

    Se continuam, as regras podem possuir algum problema.

    Uma outra solução, é alterar a porta em IP -> SERVICES, mas saiba que fazendo apenas isto, caso utilizem um Port Scan em seu ip válido será detectada a porta e tentarão realizar o acesso. Ok.

    Qualquer duvida, volte a postar ai.



  3. Você tem 2 formas de resolver adicionando regras ao firewall filter e mudando a porta padrao no MK.

  4. Bom gente usei as regras acima e realmente bloqueou a ação do SSH, porém a cada 8 horas de funcionamento trava o MK, sem a regra não há o travamento, e uma vez travado tenho de formatar e retornar o backup, dai funciona por mais 8 horas, bom eu desabilitei o SSH, porém somente tenho acesso a rede local, sem a regra mais necessitaria de acesso sem ser local, tipo via remota pois é um ponto distante e tem certas horas que não dá pra ir a esse local alguem poderia analizar as regras e postar alguma solução pra mim, pq sou novo em mikrotik na parte de regras, e mais outras coisas rsrs.



  5. eu usei a regra com tarpit, funcionou que é uma maravilha

    em regras do firewall coloquei em chain: imput
    protocolo: tcp
    dist port 21-23

    em action: tarpit


    ele libera uma tela preta que nao sai disto, quebra qualquer tentativa de invasao em ssh.

    desculpa se falei....MMMM, estou iniciando no MK.

    []ao a todos






Tópicos Similares

  1. ABAIXO O WINDOWS!!! ALGUEM PODE ME AJUDAR COM WINE OU OUTRO
    Por copynow no fórum Servidores de Rede
    Respostas: 3
    Último Post: 04-11-2003, 09:12
  2. Respostas: 3
    Último Post: 20-10-2003, 20:44
  3. Regras de ACL no RH 9 não responde, alguém pode me ajudar?
    Por webluc no fórum Servidores de Rede
    Respostas: 1
    Último Post: 19-08-2003, 18:04
  4. KDE nao faiz o ć =/ hauhauhaua alguem pode me ajudar?
    Por s3ri4l no fórum Servidores de Rede
    Respostas: 3
    Último Post: 16-04-2003, 17:07
  5. VPN alguém pode me ajudar ?
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 14-03-2003, 10:56

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L