+ Responder ao Tópico



  1. #1

    Angry Tentativas de invasão.

    Olá pessoal estou sofrendo várias tentativas de invasão em meu mikrotik via ssh. Como ele encontram meu ip? E o que devo fazer pra evitar este problema? Como faço para eles não me localizarem?
    Clique na imagem para uma versão maior

Nome:	         Ataques..JPG
Visualizações:	408
Tamanho: 	121,8 KB
ID:      	9957

  2. #2

    Padrão

    Muda a porta do ssh que você minimiza o problema.



  3. #3

    Padrão

    faz assim ip>services desabilita o ssh se vc não usa ou se vc usa troca a porta padrão 22 por outra, outra dica se vc naum autero ainda a porta www que é 80 troca por outra que essa é usada pelo webbox, se alguem digitar o ip do seu servidor no navegador abre a pagina de autenticação...

  4. #4

    Padrão

    Coloque um firewall em sua rede bem configurado e não tera estes problemas.



  5. #5

    Padrão

    Faz isso tudo que falaram ai em cima e coloque regras de firewall liberando o acesso so pra determinado ip, resolvi assim

  6. #6

    Padrão

    Valeu pessoal muito obrigado pelas dicas.



  7. #7

    Padrão

    Cara, no firewall libera acesso só para os ips que vc usa ou desabilita o ssh... aqui eu tenho desabilitado tudo que eu não uso...
    Outra pode ser bloquear o IP do cara, vai ver ele tem IP fixo e não consegue mais mudar... mas isso seria apenas uma solução para esse caso... se vc só liberar os ips que vc precisa é muito melhor... não terás mais esse problema... Esse carinha não parece muito esperto não... está usando ataque de dicionário com usuários diferentes... desse jeito ele vai levar uma década pra conseguir alguma coisa...

  8. #8

    Padrão

    Citação Postado originalmente por pedemesa Ver Post
    Cara, no firewall libera acesso só para os ips que vc usa ou desabilita o ssh... aqui eu tenho desabilitado tudo que eu não uso...
    Outra pode ser bloquear o IP do cara, vai ver ele tem IP fixo e não consegue mais mudar... mas isso seria apenas uma solução para esse caso... se vc só liberar os ips que vc precisa é muito melhor... não terás mais esse problema... Esse carinha não parece muito esperto não... está usando ataque de dicionário com usuários diferentes... desse jeito ele vai levar uma década pra conseguir alguma coisa...
    Tenho visto este tipo de ataque. E me parece que ele pode ser de qualquer lugar do mundo e não especificamente de alguém daqui querendo entrar.
    Parece que tem maquinas varrendo a net permanentemente para encontrar portas para entrar.

    Eu também desativei o SSH e nunca mais apareceu



  9. #9
    Não Registrado(s)
    Visitante

    Padrão regras de bloqueio

    Caro Amigo.
    Adicionei as regras abaixo no meu firewall, depois da terceira tentativa ele coloca o IP que está tentando acessar em uma black list, e exclui a minha rede local ´src-address=!200.xxx.x.0/24´ e fica na black list por 5 minutos, ´address-list-timeout=5m´este tempo pode ser maior

    Ficou muito bom.


    /ip firewall filter
    add action=drop chain=input comment="Drop ssh brute forcers - SSH" disabled=\
    no dst-port=22 protocol=tcp src-address=!200.xxx.x.0/24 src-address-list=\
    ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=5m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp
    add action=drop chain=input comment="Drop ssh brute forcers - winbox" \
    disabled=no dst-port=8291 protocol=tcp src-address=!200.195.3.0/24 \
    src-address-list=ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=5m chain=input comment="" connection-state=new \
    disabled=no dst-port=8291 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=8291 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=8291 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=8291 protocol=tcp
    add action=drop chain=input comment="Drop ssh brute forcers - ftp" disabled=\
    no dst-port=21 protocol=tcp src-address=!200.195.3.0/24 src-address-list=\
    ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=5m chain=input comment="" connection-state=new \
    disabled=no dst-port=21 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=21 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=21 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=21 protocol=tcp
    add action=drop chain=input comment="Drop ssh brute forcers - telnet" \
    disabled=no dst-port=23 protocol=tcp src-address=!200.195.3.0/24 \
    src-address-list=ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=5m chain=input comment="" connection-state=new \
    disabled=no dst-port=23 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=23 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=23 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=23 protocol=tcp
    add action=drop chain=input comment="Drop ssh brute forcers - http" disabled=\
    no dst-port=80 protocol=tcp src-address=!200.195.3.0/24 src-address-list=\
    ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=5m chain=input comment="" connection-state=new \
    disabled=no dst-port=80 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=80 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=80 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=80 protocol=tcp

  10. #10

    Padrão

    Citação Postado originalmente por Lisboa Ver Post
    Olá pessoal estou sofrendo várias tentativas de invasão em meu mikrotik via ssh. Como ele encontram meu ip? E o que devo fazer pra evitar este problema? Como faço para eles não me localizarem?
    Clique na imagem para uma versão maior

Nome:	         Ataques..JPG
Visualizações:	408
Tamanho: 	121,8 KB
ID:      	9957
    Vc acessa seu mikrotik de fora da sua rede? Via ssh, telnet ou winbox?



  11. #11

    Padrão

    Só acesso via winbox. Gostaria de agradecer a todos pelas dicas.

  12. #12



  13. #13
    Marlon Bolzan Avatar de marlon
    Ingresso
    Dec 2009
    Localização
    Ecoporanga-ES
    Posts
    265

    Padrão

    pega o ip do safado e procura uns tuto no YOUTUBE e fode o pc dele! ai acaba com o Problema!

  14. #14

    Padrão

    Lisboa, seu ip é descoberto por port scanners que rodam na internet. Pra resolver esse problema do ssh basta você ir em IP -> Services e desabilitar o serviço de ssh. Porém isso não impede de sua máquina ficar sendo "fuçada". Pra bloquear esse tipo de scanner você faz o seguinte:

    Essa regra abaixo adiciona os ips scanners a uma lista chamada "scanners" por 20 horas.

    /ip firewall filter
    add action=add-src-to-address-list address-list=scanners address-list-timeout=20h chain=input comment="Adiciona Port Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp psd=20,3s,3,1


    Em seguida a regra abaixo dropa as demais tentativas.

    add action=drop chain=input comment="Dropa conexoes de scanners" disabled=no protocol=tcp src-address-list=scanners

    Por fim deixo a dica: "Um bom firewall te polpa muitas dores de cabeça"

    Abs.



  15. #15

    Padrão Re: Tentativas de invasão.

    Desculpa se estou postando n0 lugar errado. Nunca entrei num forum antes e postei alguma coisa...
    Mas estou com um problema sinistro aqui, tem um sac4na invadindo minha rede.
    Sou leigo , vou logo falando !

    Entao vejo ele pelo hosts do hotspot, não uso wep , wap nada...
    Queria uma forma de evitar isso sem precisar criptografar a rede... se e que isso vai adiantar tb, se o cara for bom e usar linux acredito que ele vai descobrir a senha e continuar a brincadeira...
    Bom, eu derrubo o cara no bindings ip e logo ele volta ou com outro ip ou com outro mac e ip do cliente, reparei tb que qdo o sac4na clonou meu mac ficamos os dois navegando juntos... e ai ferrou nao podia brincar de pega pega com ele... Ja mudei ssh, ja mudei www porta e o cara continua empreguinado aqui . Por favor alguém me ajuda a eliminar esse problema. Qdo deletei e bloquiei ele , ele veio com milhoes de ips diferente no mac que eu o deletei ... ta tenso e chato ... achei que o mk era o cara...

    eu so to lendo no forum, regras de firewall para la e para cá , mas nao vi uma alma colocando-as aqui para ajudar a minha pobre alma ehhehehehe..
    Outra, ele parece estar entrando por fora do hotspot, qdo ele entra fica um H em vez de D, AH ou AD...
    Bom, se alguém puder me dar uma força nesse probleminha vou fica muito agradecido...
    Última edição por escoba; 30-11-2010 às 13:52.

  16. #16

    Padrão Re: Tentativas de invasão.

    Amigo, pensa seriamente em colocar uma boa chave de criptografia WPA2. Com letras numeros, sinais e tudo o mais que voce puder misturar.
    Mas não coloca chave WEP que tem muita receita também para quebrar.
    Duvido que ele vá entrar de novo.
    Sem isso, ele vai continuar entrando. Está cheio de receitinhas no youtube para invadir redes.

    Qual o motivo que voce não quer colocar criptografia?



  17. #17

    Padrão Re: Tentativas de invasão.

    Primeiro obrigado pela rapidez e informação !

    Sem problemas então ! Uso a wap2 já que é mais seguro !
    Mas me ajude em uma coisa, eu coloco a wap2 no meu AP que está lá em cima
    ou no MK.

    Outra o meu aP pede algumas configurações que não sei o que colocar, por exemplo..

    encrypt um amigo disse para eu usar tkip...
    Radius Server = numero de ip, qual ip e esse ?
    radius porta = porta numero pode ser qualquer uma ?...

    Ai vem a palavra chave depois disso... que pode ter 64 caractes ou hexadecimal.
    Procurei no google algo que me ensinasse a preencher isso mas nada...
    talvez seja a pressa de tirar o cara da rede... se pelo menos ele nao tivesse sugando todo o trafego eu nem esquentava, mas e sacana ... ai tenso...

  18. #18

    Padrão Re: Tentativas de invasão.

    Os APs devem estar em bridge e o mikrotik só como servidor.
    Então coloca a chave nos APS, como WPA2 AES. é modo como uso. Não uso nada de radius.
    Esta chave voce vai colocar também nos APs clientes.
    Só vai abrir a rede e entrar quem tiver a chave.
    Com radius é mais eficiente ainda.
    Mas é mais complicado. Pois vai ser preciso um servidor radius. Deixa só com a chave que é mais simples.
    Mas garanto que ele não entra mais só com a criptografia WPA2.



  19. #19

    Padrão Re: Tentativas de invasão.

    vlw amigo, muito obrigado.
    Farei o que falou ..

    Abração e até a proxima...
    Tive msn pode add ai [email protected]