+ Responder ao Tópico



  1. use estas regras basta colar no newterminal

    /ip firewall filter
    add action=drop chain=input comment="drop ssh brute forcers" disabled=no dst-port=22 protocol=tcp src-address-list=SSH-LISTANEGRA
    add action=add-src-to-address-list address-list=SSH-LISTANEGRA address-list-timeout=17w1d chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ESTAGIO2
    add action=add-src-to-address-list address-list=ESTAGIO2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ESTAGIO1
    add action=add-src-to-address-list address-list=ESTAGIO1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp



    vai criar uma blacklist de ips, se errar 3 vezes ip é dropado

  2. Fico grato a todos que responderam o tópico, porém a minha finalidade foi mais a curiosidade em questão do IP...

    Desde a primeira tentativa eu já desativei os serviços e troquei as portas dos serviços que utilizo, porém foi uma questão de curiosidade minha em relação a tal IP, já que assim que eu ativo começo receber essas tentativas de logins, e se trata de um Ip fixo de uma grande empresa, por isso queria saber se mais alguém estava sofrendo esse mesmo tipo de tentativa de login vindo da mesma faixa de IP...

    Mais obrigado a todos pela atenção.

    Abraço!



  3. Olá,

    Esse tipo de tentativas é padrão na internet, é um sistema automatizado que varre redes e utiliza-se de brute force com base em dicionários de palavras, na maioria das vezes é praticados por "scriptkids" como eles atiram para qualquer lado as vezes pegam um ou outro serviço, se fosse uma ameaça real é plausível que ele já teria acesso root no servidor.

    Alguns pontos a se observar:
    - desative aquilo que você não precisa. regra: "tudo é proibido, exceto...."
    - Serviço de Telnet? pra que isso esta rodando ai mesmo? quem usa isso ai? Qualquer sistema que utilize acesso telnet remoto não deve ser levado a sério.
    - trocar de portas padrão NÃO RESOLVE, pois em um scanner completo, mesmo que você mude a porta ainda ira parecer ao atacante todas as portas abertas.
    - considere a possibilidade de colocar um firewall com IDS (Intrusion Detection System) que ira analisar as assinatura de ataque e associado a um programa que toda decisões, como por exemplo: o sistema emite um sinal positivo para assinatura de ataque, no seu caso, brute force, ele bloqueia o ip por por 24 horas, avisa o admin por sms, email, aciona a cafeteira, etc. (snort, guardian, entre outros)
    - 4FUN: Reação, o IDS detecta uma invasão e o servidor passa a rodar rotinas de ataques reversos, como scritps de segurança que analisem o atacante e ataquem de volta com dos, ddos, flood, etc. "Aquele que se empenha a resolver as dificuldades resolve-as antes que elas surjam. Aquele que se ultrapassa a vencer os inimigos triunfa antes que as suas ameaças se concretizem." Sun Tzu ( A Arte da Guerra)
    - É provável que a máquina de onde se origina o ataque, esteja comprometida, elabore um email padrão e encaminhe ao admin da rede e a administração da empresa, fazer um administrador de rede explicar ao diretor da empresa porque a empresa dele esta atacando outras empresas na internet pode ser mais eficaz que qualquer outra medida de seguranças. Pelo menos demonstra a que na sua empresa, segurança é levado a sério e vocês estão atentos.
    - Gere log de tudo e leia, de que adianta ter log se ninguém lê, se são muitos logs, existem ferramentas que te ajudam nisso. log existe para prevenir e não para ajudar a resolver depois que o pior já aconteceu, até porque limpar traços de uma invasão também é uma arte.
    - Concentre sua atenção naquilo que esta acontecendo dentro da sua rede, 97% dos incidentes acontecem ali. Invasões por agentes externos acontecem mais em filmes que na vida real.
    - Serviços e servidores podem estar em uma rede separada, como uma DMZ por exemplo.
    - Muitas vezes aquela CPU antiga jogada no fundo da área técnica pode se tornar um firewall/IDS melhor do que uma solução pronta, cara e ineficaz.

    Sou um otimista, acredito que: "Todo servidor é seguro, exceto os mal configurados."

    Espero ter ajudado.

    []'s

    KP

  4. Citação Postado originalmente por Kernel Panic Ver Post
    Olá,

    Esse tipo de tentativas é padrão na internet, é um sistema automatizado que varre redes e utiliza-se de brute force com base em dicionários de palavras, na maioria das vezes é praticados por "scriptkids" como eles atiram para qualquer lado as vezes pegam um ou outro serviço, se fosse uma ameaça real é plausível que ele já teria acesso root no servidor.

    Alguns pontos a se observar:
    - desative aquilo que você não precisa. regra: "tudo é proibido, exceto...."
    - Serviço de Telnet? pra que isso esta rodando ai mesmo? quem usa isso ai? Qualquer sistema que utilize acesso telnet remoto não deve ser levado a sério.
    - trocar de portas padrão NÃO RESOLVE, pois em um scanner completo, mesmo que você mude a porta ainda ira parecer ao atacante todas as portas abertas.
    - considere a possibilidade de colocar um firewall com IDS (Intrusion Detection System) que ira analisar as assinatura de ataque e associado a um programa que toda decisões, como por exemplo: o sistema emite um sinal positivo para assinatura de ataque, no seu caso, brute force, ele bloqueia o ip por por 24 horas, avisa o admin por sms, email, aciona a cafeteira, etc. (snort, guardian, entre outros)
    - 4FUN: Reação, o IDS detecta uma invasão e o servidor passa a rodar rotinas de ataques reversos, como scritps de segurança que analisem o atacante e ataquem de volta com dos, ddos, flood, etc. "Aquele que se empenha a resolver as dificuldades resolve-as antes que elas surjam. Aquele que se ultrapassa a vencer os inimigos triunfa antes que as suas ameaças se concretizem." Sun Tzu ( A Arte da Guerra)
    - É provável que a máquina de onde se origina o ataque, esteja comprometida, elabore um email padrão e encaminhe ao admin da rede e a administração da empresa, fazer um administrador de rede explicar ao diretor da empresa porque a empresa dele esta atacando outras empresas na internet pode ser mais eficaz que qualquer outra medida de seguranças. Pelo menos demonstra a que na sua empresa, segurança é levado a sério e vocês estão atentos.
    - Gere log de tudo e leia, de que adianta ter log se ninguém lê, se são muitos logs, existem ferramentas que te ajudam nisso. log existe para prevenir e não para ajudar a resolver depois que o pior já aconteceu, até porque limpar traços de uma invasão também é uma arte.
    - Concentre sua atenção naquilo que esta acontecendo dentro da sua rede, 97% dos incidentes acontecem ali. Invasões por agentes externos acontecem mais em filmes que na vida real.
    - Serviços e servidores podem estar em uma rede separada, como uma DMZ por exemplo.
    - Muitas vezes aquela CPU antiga jogada no fundo da área técnica pode se tornar um firewall/IDS melhor do que uma solução pronta, cara e ineficaz.

    Sou um otimista, acredito que: "Todo servidor é seguro, exceto os mal configurados."

    Espero ter ajudado.

    []'s

    KP
    Simplesmente show de bola o seu post, rsrs...
    Tudo que falou é verdade, algumas medidas citadas acima já estão rodando aqui, porém como eu tinha falado era curiosidade saber se mais alguém está sofrendo o mesmo "ataque" vindo do mesmo Ip.

    Porém muito obrigado, algumas dicas como contactar a empresa responsável pelo Ip será uma das coisas que irei fazer.

    Abraço!



  5. Citação Postado originalmente por Arthuzitow Ver Post
    Simplesmente show de bola o seu post, rsrs...
    Tudo que falou é verdade, algumas medidas citadas acima já estão rodando aqui, porém como eu tinha falado era curiosidade saber se mais alguém está sofrendo o mesmo "ataque" vindo do mesmo Ip.

    Porém muito obrigado, algumas dicas como contactar a empresa responsável pelo Ip será uma das coisas que irei fazer.

    Abraço!
    Apenas com o intuito de te ajudar e com objetivo educacional.

    Diga a ele que o servidor de câmeras dele esta comprometido e que esta exposto na internet sem critérios básicos de segurança.
    Que pessoas não autorizadas estão utilizando seu servidor como base de ataque a servidores na internet.
    Não espere muito, pois trata-se de uma pequena lanchonete, com um servidor DS-7216HVI-SV com capacidade para 16 câmeras, embora ele tenha apenas 9 câmeras em funcionamento.

    Se ainda ele não acreditar, mostre esta imagem a ele, atente para o canto superior direito, onde esta escrito a palavra: ADMIN
    (tempo gasto: 30 segundos)

    http://s7.postimg.org/6bu2uahln/lanchonete.png

    Espero que isso te ajude e ao dono da lanchonete também.

    Bloquei este IP por padrão, ele já tem problemas demais.

    []'s

    KP






Tópicos Similares

  1. Tentativa de Login por SSH
    Por jamers0n no fórum Redes
    Respostas: 21
    Último Post: 19-12-2015, 17:41
  2. Mensagens de erro em tentativas de login.
    Por Elfos no fórum Redes
    Respostas: 0
    Último Post: 17-08-2011, 08:54
  3. Tentativa de login via SSH remota
    Por luock no fórum Redes
    Respostas: 4
    Último Post: 26-02-2008, 11:17
  4. tentativas de login ssh
    Por Valois no fórum Segurança
    Respostas: 11
    Último Post: 19-12-2006, 10:25
  5. Respostas: 1
    Último Post: 08-11-2005, 21:09

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L