+ Responder ao Tópico



  1. Citação Postado originalmente por Arthuzitow Ver Post
    Olá galerinha, bom já faz algum tempo que eu venho observando alguns logs em um determinado servidor MK de uma rede, onde sempre que ativo o serviço de ssh ou telnet, automaticamente em alguns minutos, o servidor em questão começa a receber várias tentativas de login com nome de usuários padrão, como root, admin, cusadmin e etc...

    As tentativas de login sempre vem do mesmo ip, 201.184.47.163

    Anexo 50153

    Queria pedir a vocês que deixassem o serviço telnet e ssh ativos em suas portas padrões e ver se o mesmo acontece, já que eu não faço a mínima ideia de quem/ou o que seja...

    O ip leva até essa página de login.

    Desde já obrigado a todos.

    Anexo 50152
    Efetue o bloqueio de entrada em sua borda.

  2. Estou no aguardo do retorno se é que vou ter né, um retorno do e-mail enviado ao ADMIN...



  3. Clique na imagem para uma versão maior

Nome:	         lista 01  a 58  de  398 ips.jpg
Visualizações:	54
Tamanho: 	107,2 KB
ID:      	50170Clique na imagem para uma versão maior

Nome:	         lista 59  a 116  de  398 ips.jpg
Visualizações:	44
Tamanho: 	111,0 KB
ID:      	50171Clique na imagem para uma versão maior

Nome:	         lista 117 a 174 de  398 ips.jpg
Visualizações:	39
Tamanho: 	106,8 KB
ID:      	50172Clique na imagem para uma versão maior

Nome:	         lista 175 a 232de  398  ips.jpg
Visualizações:	43
Tamanho: 	112,3 KB
ID:      	50173Clique na imagem para uma versão maior

Nome:	         lista 233 a 290 de  398  ips.jpg
Visualizações:	39
Tamanho: 	112,0 KB
ID:      	50174Clique na imagem para uma versão maior

Nome:	         lista 291 a  348 de  398 ips.jpg
Visualizações:	41
Tamanho: 	109,9 KB
ID:      	50175Clique na imagem para uma versão maior

Nome:	         lista 348 a  398  de  398 ips.jpg
Visualizações:	41
Tamanho: 	109,3 KB
ID:      	50176
    Citação Postado originalmente por Acronimo Ver Post
    use estas regras basta colar no newterminal

    /ip firewall filter
    add action=drop chain=input comment="drop ssh brute forcers" disabled=no dst-port=22 protocol=tcp src-address-list=SSH-LISTANEGRA
    add action=add-src-to-address-list address-list=SSH-LISTANEGRA address-list-timeout=17w1d chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ESTAGIO2
    add action=add-src-to-address-list address-list=ESTAGIO2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ESTAGIO1
    add action=add-src-to-address-list address-list=ESTAGIO1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp



    vai criar uma blacklist de ips, se errar 3 vezes ip é dropado
    Olá a todos! gostaria de agradecer o Acronimo que postou as regras acima, pois assim que vi o post inseri as regras no meu mikrotik e instantes antes de postar esta resposta tive um susto, pois com a nova regra instalada no mikrotik acessei o address-list e vi 398 ips na lista negra, os quais seguem as imagens em anexo, gostaria de ter exportado os ips, porem como estão em uma lista dinâmica, não consegui exportar, o mikrotik só exporta os endereços fixos dentro da lista.
    Se alguém souber como exportar a lista dinâmica do Mikrotik peço por gentileza que passe o procedimento!

    Faço questão de postar a lista completa caso outros tenham interesse em coloca-las em seus servidores!

    o que me deixou realmente espantado é que foi muito rápido o crescimento desta lista negra.

    Obrigado a Todos!

  4. Não é brincadeira não amigo...

    Alguém conseguindo acesso ao qualquer um de nossos servidores, pode fazer praticamente tudo... Inclusive coletar informações de nossos clientes, como senhas de e-mail, cartões de crédito, dados bancarios e etc... E até fazer uso de nossa rede para infectar/atingir outras redes...

    Por isso esse tipo de informação deve sempre ser divulgada e técnicas compartilhadas.

    Não sei se você já fez, porém tenta mudar a porta padrão dos seus serviços.

    Abraço!



  5. Citação Postado originalmente por Acronimo Ver Post
    use estas regras basta colar no newterminal

    /ip firewall filter
    add action=drop chain=input comment="drop ssh brute forcers" disabled=no dst-port=22 protocol=tcp src-address-list=SSH-LISTANEGRA
    add action=add-src-to-address-list address-list=SSH-LISTANEGRA address-list-timeout=17w1d chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ESTAGIO2
    add action=add-src-to-address-list address-list=ESTAGIO2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ESTAGIO1
    add action=add-src-to-address-list address-list=ESTAGIO1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp



    vai criar uma blacklist de ips, se errar 3 vezes ip é dropado
    Poderia está utilizando da mesma regra porém alterando apenas as portas para outros serviços, como ftp, telnet etc...






Tópicos Similares

  1. Tentativa de Login por SSH
    Por jamers0n no fórum Redes
    Respostas: 21
    Último Post: 19-12-2015, 17:41
  2. Mensagens de erro em tentativas de login.
    Por Elfos no fórum Redes
    Respostas: 0
    Último Post: 17-08-2011, 08:54
  3. Tentativa de login via SSH remota
    Por luock no fórum Redes
    Respostas: 4
    Último Post: 26-02-2008, 11:17
  4. tentativas de login ssh
    Por Valois no fórum Segurança
    Respostas: 11
    Último Post: 19-12-2006, 10:25
  5. Respostas: 1
    Último Post: 08-11-2005, 21:09

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L