Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Deus acima de tudo!
    Ingresso
    Jul 2009
    Localização
    Paulista - Pernambuco
    Posts
    409

    Padrão Tentativas de Login Por Telnet E SSH

    Olá galerinha, bom já faz algum tempo que eu venho observando alguns logs em um determinado servidor MK de uma rede, onde sempre que ativo o serviço de ssh ou telnet, automaticamente em alguns minutos, o servidor em questão começa a receber várias tentativas de login com nome de usuários padrão, como root, admin, cusadmin e etc...

    As tentativas de login sempre vem do mesmo ip, 201.184.47.163

    Clique na imagem para uma versão maior

Nome:	         logss.png
Visualizações:	578
Tamanho: 	237,0 KB
ID:      	50153

    Queria pedir a vocês que deixassem o serviço telnet e ssh ativos em suas portas padrões e ver se o mesmo acontece, já que eu não faço a mínima ideia de quem/ou o que seja...

    O ip leva até essa página de login.

    Desde já obrigado a todos.

    Clique na imagem para uma versão maior

Nome:	         Captura de tela de 2014-02-08 20:32:04.jpg
Visualizações:	369
Tamanho: 	66,6 KB
ID:      	50152

  2. #2
    Deus acima de tudo!
    Ingresso
    Jul 2009
    Localização
    Paulista - Pernambuco
    Posts
    409

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Aqui também eu fiz o mesmo que você, tem hora que começa vários acessos, depois para e assim vai.

    O que acho estranho é o seguinte a tentativa de acesso vem de um Ip Externo certo? Meu ip nessa rede não é fixo, e com tanta facilidade o camarada começa a tentar logar na minha rede. O ip pertence




    Me pergunto porque diabos tentam acessar a rede? rsrs

  3. #3
    Avatar de Djaldair
    Ingresso
    Mar 2012
    Localização
    Matupá - MT
    Posts
    637
    Posts de Blog
    2

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Sofri muitos ataques por ssh, resolvi com regras de bloqueio, e definitivamente com a troca de ip válido.

  4. #4
    Deus acima de tudo!
    Ingresso
    Jul 2009
    Localização
    Paulista - Pernambuco
    Posts
    409

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Citação Postado originalmente por Djaldair Ver Post
    Sofri muitos ataques por ssh, resolvi com regras de bloqueio, e definitivamente com a troca de ip válido.

    Podes crer mano... Mais a minha intenção era saber se mais alguém sofre ataques desse mesmo IP. Queria saber o porque... Qual o propósito dessa rede receber um ataque... Queria saber se é um tipo de vírus que roda no RouterOs porque é de forma automática entende. É como se ficasse procurando alguem rodando tal serviço.

    Abraço!

  5. #5

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Meu caro,

    Por padrão sempre desativamos as portas dos serviços não utilizados e mudamos a porta padrão dos serviço que usamos.
    Além de limitar o acesso apenas para as redes o qual vão usar o serviço.
    Também criamos uma regra de "força bruta ssh/telnet/ftp" ou qualquer outro serviço a ser utilizado para que se houver as tentativas de acesso o atacante fique em uma lista negada.
    Alterar as senhas do usuários do sistema e rebaixar seus privilegios
    Criar usuário e senhas personalizado por pessoas que seus níveis de acesso.

    Isso é o mínimo de segurança que deve ser adotado.

  6. #6
    SUPORTE E CONSULTORIA Avatar de Acronimo
    Ingresso
    Oct 2008
    Localização
    Rio de Janeiro - RJ
    Posts
    2.106
    Posts de Blog
    1

    Padrão Re: Tentativas de Login Por Telnet E SSH

    use estas regras basta colar no newterminal

    /ip firewall filter
    add action=drop chain=input comment="drop ssh brute forcers" disabled=no dst-port=22 protocol=tcp src-address-list=SSH-LISTANEGRA
    add action=add-src-to-address-list address-list=SSH-LISTANEGRA address-list-timeout=17w1d chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ESTAGIO2
    add action=add-src-to-address-list address-list=ESTAGIO2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ESTAGIO1
    add action=add-src-to-address-list address-list=ESTAGIO1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp



    vai criar uma blacklist de ips, se errar 3 vezes ip é dropado

  7. #7
    Deus acima de tudo!
    Ingresso
    Jul 2009
    Localização
    Paulista - Pernambuco
    Posts
    409

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Fico grato a todos que responderam o tópico, porém a minha finalidade foi mais a curiosidade em questão do IP...

    Desde a primeira tentativa eu já desativei os serviços e troquei as portas dos serviços que utilizo, porém foi uma questão de curiosidade minha em relação a tal IP, já que assim que eu ativo começo receber essas tentativas de logins, e se trata de um Ip fixo de uma grande empresa, por isso queria saber se mais alguém estava sofrendo esse mesmo tipo de tentativa de login vindo da mesma faixa de IP...

    Mais obrigado a todos pela atenção.

    Abraço!

  8. #8

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Olá,

    Esse tipo de tentativas é padrão na internet, é um sistema automatizado que varre redes e utiliza-se de brute force com base em dicionários de palavras, na maioria das vezes é praticados por "scriptkids" como eles atiram para qualquer lado as vezes pegam um ou outro serviço, se fosse uma ameaça real é plausível que ele já teria acesso root no servidor.

    Alguns pontos a se observar:
    - desative aquilo que você não precisa. regra: "tudo é proibido, exceto...."
    - Serviço de Telnet? pra que isso esta rodando ai mesmo? quem usa isso ai? Qualquer sistema que utilize acesso telnet remoto não deve ser levado a sério.
    - trocar de portas padrão NÃO RESOLVE, pois em um scanner completo, mesmo que você mude a porta ainda ira parecer ao atacante todas as portas abertas.
    - considere a possibilidade de colocar um firewall com IDS (Intrusion Detection System) que ira analisar as assinatura de ataque e associado a um programa que toda decisões, como por exemplo: o sistema emite um sinal positivo para assinatura de ataque, no seu caso, brute force, ele bloqueia o ip por por 24 horas, avisa o admin por sms, email, aciona a cafeteira, etc. (snort, guardian, entre outros)
    - 4FUN: Reação, o IDS detecta uma invasão e o servidor passa a rodar rotinas de ataques reversos, como scritps de segurança que analisem o atacante e ataquem de volta com dos, ddos, flood, etc. "Aquele que se empenha a resolver as dificuldades resolve-as antes que elas surjam. Aquele que se ultrapassa a vencer os inimigos triunfa antes que as suas ameaças se concretizem." Sun Tzu ( A Arte da Guerra)
    - É provável que a máquina de onde se origina o ataque, esteja comprometida, elabore um email padrão e encaminhe ao admin da rede e a administração da empresa, fazer um administrador de rede explicar ao diretor da empresa porque a empresa dele esta atacando outras empresas na internet pode ser mais eficaz que qualquer outra medida de seguranças. Pelo menos demonstra a que na sua empresa, segurança é levado a sério e vocês estão atentos.
    - Gere log de tudo e leia, de que adianta ter log se ninguém lê, se são muitos logs, existem ferramentas que te ajudam nisso. log existe para prevenir e não para ajudar a resolver depois que o pior já aconteceu, até porque limpar traços de uma invasão também é uma arte.
    - Concentre sua atenção naquilo que esta acontecendo dentro da sua rede, 97% dos incidentes acontecem ali. Invasões por agentes externos acontecem mais em filmes que na vida real.
    - Serviços e servidores podem estar em uma rede separada, como uma DMZ por exemplo.
    - Muitas vezes aquela CPU antiga jogada no fundo da área técnica pode se tornar um firewall/IDS melhor do que uma solução pronta, cara e ineficaz.

    Sou um otimista, acredito que: "Todo servidor é seguro, exceto os mal configurados."

    Espero ter ajudado.

    []'s

    KP

  9. #9
    Deus acima de tudo!
    Ingresso
    Jul 2009
    Localização
    Paulista - Pernambuco
    Posts
    409

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Citação Postado originalmente por Kernel Panic Ver Post
    Olá,

    Esse tipo de tentativas é padrão na internet, é um sistema automatizado que varre redes e utiliza-se de brute force com base em dicionários de palavras, na maioria das vezes é praticados por "scriptkids" como eles atiram para qualquer lado as vezes pegam um ou outro serviço, se fosse uma ameaça real é plausível que ele já teria acesso root no servidor.

    Alguns pontos a se observar:
    - desative aquilo que você não precisa. regra: "tudo é proibido, exceto...."
    - Serviço de Telnet? pra que isso esta rodando ai mesmo? quem usa isso ai? Qualquer sistema que utilize acesso telnet remoto não deve ser levado a sério.
    - trocar de portas padrão NÃO RESOLVE, pois em um scanner completo, mesmo que você mude a porta ainda ira parecer ao atacante todas as portas abertas.
    - considere a possibilidade de colocar um firewall com IDS (Intrusion Detection System) que ira analisar as assinatura de ataque e associado a um programa que toda decisões, como por exemplo: o sistema emite um sinal positivo para assinatura de ataque, no seu caso, brute force, ele bloqueia o ip por por 24 horas, avisa o admin por sms, email, aciona a cafeteira, etc. (snort, guardian, entre outros)
    - 4FUN: Reação, o IDS detecta uma invasão e o servidor passa a rodar rotinas de ataques reversos, como scritps de segurança que analisem o atacante e ataquem de volta com dos, ddos, flood, etc. "Aquele que se empenha a resolver as dificuldades resolve-as antes que elas surjam. Aquele que se ultrapassa a vencer os inimigos triunfa antes que as suas ameaças se concretizem." Sun Tzu ( A Arte da Guerra)
    - É provável que a máquina de onde se origina o ataque, esteja comprometida, elabore um email padrão e encaminhe ao admin da rede e a administração da empresa, fazer um administrador de rede explicar ao diretor da empresa porque a empresa dele esta atacando outras empresas na internet pode ser mais eficaz que qualquer outra medida de seguranças. Pelo menos demonstra a que na sua empresa, segurança é levado a sério e vocês estão atentos.
    - Gere log de tudo e leia, de que adianta ter log se ninguém lê, se são muitos logs, existem ferramentas que te ajudam nisso. log existe para prevenir e não para ajudar a resolver depois que o pior já aconteceu, até porque limpar traços de uma invasão também é uma arte.
    - Concentre sua atenção naquilo que esta acontecendo dentro da sua rede, 97% dos incidentes acontecem ali. Invasões por agentes externos acontecem mais em filmes que na vida real.
    - Serviços e servidores podem estar em uma rede separada, como uma DMZ por exemplo.
    - Muitas vezes aquela CPU antiga jogada no fundo da área técnica pode se tornar um firewall/IDS melhor do que uma solução pronta, cara e ineficaz.

    Sou um otimista, acredito que: "Todo servidor é seguro, exceto os mal configurados."

    Espero ter ajudado.

    []'s

    KP
    Simplesmente show de bola o seu post, rsrs...
    Tudo que falou é verdade, algumas medidas citadas acima já estão rodando aqui, porém como eu tinha falado era curiosidade saber se mais alguém está sofrendo o mesmo "ataque" vindo do mesmo Ip.

    Porém muito obrigado, algumas dicas como contactar a empresa responsável pelo Ip será uma das coisas que irei fazer.

    Abraço!

  10. #10

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Citação Postado originalmente por Arthuzitow Ver Post
    Simplesmente show de bola o seu post, rsrs...
    Tudo que falou é verdade, algumas medidas citadas acima já estão rodando aqui, porém como eu tinha falado era curiosidade saber se mais alguém está sofrendo o mesmo "ataque" vindo do mesmo Ip.

    Porém muito obrigado, algumas dicas como contactar a empresa responsável pelo Ip será uma das coisas que irei fazer.

    Abraço!
    Apenas com o intuito de te ajudar e com objetivo educacional.

    Diga a ele que o servidor de câmeras dele esta comprometido e que esta exposto na internet sem critérios básicos de segurança.
    Que pessoas não autorizadas estão utilizando seu servidor como base de ataque a servidores na internet.
    Não espere muito, pois trata-se de uma pequena lanchonete, com um servidor DS-7216HVI-SV com capacidade para 16 câmeras, embora ele tenha apenas 9 câmeras em funcionamento.

    Se ainda ele não acreditar, mostre esta imagem a ele, atente para o canto superior direito, onde esta escrito a palavra: ADMIN
    (tempo gasto: 30 segundos)

    http://s7.postimg.org/6bu2uahln/lanchonete.png

    Espero que isso te ajude e ao dono da lanchonete também.

    Bloquei este IP por padrão, ele já tem problemas demais.

    []'s

    KP

  11. #11

    Padrão Re: Tentativas de Login Por Telnet E SSH

    inetnum: 201.184/15
    status: allocated
    aut-num: N/A
    owner: EPM Telecomunicaciones S.A. E.S.P.
    ownerid: CO-EPME1-LACNIC
    responsible: Administrador EPMNET
    address: Carrera 77 39b-16, -, -
    address: 940 - Medellin - CO
    country: CO
    phone: +57 4 4152280 []

  12. #12
    Deus acima de tudo!
    Ingresso
    Jul 2009
    Localização
    Paulista - Pernambuco
    Posts
    409

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Citação Postado originalmente por Pirigoso Ver Post
    inetnum: 201.184/15
    status: allocated
    aut-num: N/A
    owner: EPM Telecomunicaciones S.A. E.S.P.
    ownerid: CO-EPME1-LACNIC
    responsible: Administrador EPMNET
    address: Carrera 77 39b-16, -, -
    address: 940 - Medellin - CO
    country: CO
    phone: +57 4 4152280 []
    Citação Postado originalmente por Kernel Panic Ver Post
    Apenas com o intuito de te ajudar e com objetivo educacional.

    Diga a ele que o servidor de câmeras dele esta comprometido e que esta exposto na internet sem critérios básicos de segurança.
    Que pessoas não autorizadas estão utilizando seu servidor como base de ataque a servidores na internet.
    Não espere muito, pois trata-se de uma pequena lanchonete, com um servidor DS-7216HVI-SV com capacidade para 16 câmeras, embora ele tenha apenas 9 câmeras em funcionamento.

    Se ainda ele não acreditar, mostre esta imagem a ele, atente para o canto superior direito, onde esta escrito a palavra: ADMIN
    (tempo gasto: 30 segundos)

    http://s7.postimg.org/6bu2uahln/lanchonete.png

    Espero que isso te ajude e ao dono da lanchonete também.

    Bloquei este IP por padrão, ele já tem problemas demais.

    []'s

    KP
    Fico grato pela atenção de vocês, porém já entrei em contato com o ADMIN da empresa responsável por "hospedar" tal IP/Serviço, apenas espero uma resposta do mesmo.

    Porém vejo que o único aqui a sofrer com ataques desse determinado IP foi eu mesmo, meu pensamento de imediato foi algum tipo de botnet, com finalidade de ataque a "provedores" ou seja sistemas rodando o RouterOs da MK, a fim de conseguir info de cc e banker de usuários ou seja nossos clientes. Por isso pensei que mais alguém também estaria sofrendo o mesmo que eu. Porém minha intenção foi saber se era algo do tamanho que eu imaginava afim de alertar os amigos, ou simplesmente algo do tipo que o Kernel Panic citou, algo que "ScriptKiddies" fazem atira para todo lado.

    Bom mais uma vez fico agradecido pela ajuda de todos vocês...

    Abraço e vlw galera.

  13. #13
    Deus acima de tudo!
    Ingresso
    Jul 2009
    Localização
    Paulista - Pernambuco
    Posts
    409

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Citação Postado originalmente por Kernel Panic Ver Post
    Apenas com o intuito de te ajudar e com objetivo educacional.

    Diga a ele que o servidor de câmeras dele esta comprometido e que esta exposto na internet sem critérios básicos de segurança.
    Que pessoas não autorizadas estão utilizando seu servidor como base de ataque a servidores na internet.
    Não espere muito, pois trata-se de uma pequena lanchonete, com um servidor DS-7216HVI-SV com capacidade para 16 câmeras, embora ele tenha apenas 9 câmeras em funcionamento.

    Se ainda ele não acreditar, mostre esta imagem a ele, atente para o canto superior direito, onde esta escrito a palavra: ADMIN
    (tempo gasto: 30 segundos)

    http://s7.postimg.org/6bu2uahln/lanchonete.png

    Espero que isso te ajude e ao dono da lanchonete também.

    Bloquei este IP por padrão, ele já tem problemas demais.

    []'s

    KP
    Esqueci de falar, que sobre o ponto "chave" o login e senha que está em questão...

    Acho que não vou ter muito resultado em contato feito por e-mail com tal ADMIN dessa rede não.

    Como você teve acesso do mesmo jeito que eu, você deve entender o que eu falei.

    Abraço e obrigado pela ajuda!

  14. #14

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Acompanhando, tbm acessei o dvr, alguem sabe onde fica este lugar ?

  15. #15

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Saudações...

    Segundo a geolocalização do ip o local fica na Colômbia, aparece como provável a cidade de Medellin ou Bogotá.
    Façam suas apostas, quem acertar o lugar exato ganha um sanduíche.

    É o big brother culinário!! =P

    Segue os resultados:

    Geolocation data from IP2Location (Product: DB4)
    IP Address Country Region City ISP
    201.184.47.163 Colombia Antioquia Medellin Epm Telecomunicaciones S.a. E.s.p.


    Geolocation data from IPligence (Product: Max)
    IP Address Country Region City ISP
    201.184.47.163 Colombia Medellin Epm Telecomunicaciones S.a. E.s.p.
    Continent Latitude Longitude Time Zone
    South America 6.25 -75.58 EST


    Geolocation data from IP Address Labs (Product: Pro)
    IP Address Country Region City ISP
    201.184.47.163 Colombia Distrito Especial Bogotá Epm Telecomunicaciones S.a. E.s.p.
    Continent Latitude Longitude Organization
    South America 4.6492 -74.0628 Telecomunicaciones S.A. E.S.P.


    Geolocation data from MaxMind (Product: GeoLiteCity)
    IP Address Country Region City Postal Code Area Code
    201.184.47.163 Colombia 34 Bogot�

    Registry Information for 201.184.47.163

    []´s

    KP

  16. #16

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Citação Postado originalmente por Arthuzitow Ver Post
    Olá galerinha, bom já faz algum tempo que eu venho observando alguns logs em um determinado servidor MK de uma rede, onde sempre que ativo o serviço de ssh ou telnet, automaticamente em alguns minutos, o servidor em questão começa a receber várias tentativas de login com nome de usuários padrão, como root, admin, cusadmin e etc...

    As tentativas de login sempre vem do mesmo ip, 201.184.47.163

    Clique na imagem para uma versão maior

Nome:	         logss.png
Visualizações:	578
Tamanho: 	237,0 KB
ID:      	50153

    Queria pedir a vocês que deixassem o serviço telnet e ssh ativos em suas portas padrões e ver se o mesmo acontece, já que eu não faço a mínima ideia de quem/ou o que seja...

    O ip leva até essa página de login.

    Desde já obrigado a todos.

    Clique na imagem para uma versão maior

Nome:	         Captura de tela de 2014-02-08 20:32:04.jpg
Visualizações:	369
Tamanho: 	66,6 KB
ID:      	50152
    Efetue o bloqueio de entrada em sua borda.

  17. #17
    Deus acima de tudo!
    Ingresso
    Jul 2009
    Localização
    Paulista - Pernambuco
    Posts
    409

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Estou no aguardo do retorno se é que vou ter né, um retorno do e-mail enviado ao ADMIN...

  18. #18

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Clique na imagem para uma versão maior

Nome:	         lista 01  a 58  de  398 ips.jpg
Visualizações:	192
Tamanho: 	107,2 KB
ID:      	50170Clique na imagem para uma versão maior

Nome:	         lista 59  a 116  de  398 ips.jpg
Visualizações:	191
Tamanho: 	111,0 KB
ID:      	50171Clique na imagem para uma versão maior

Nome:	         lista 117 a 174 de  398 ips.jpg
Visualizações:	151
Tamanho: 	106,8 KB
ID:      	50172Clique na imagem para uma versão maior

Nome:	         lista 175 a 232de  398  ips.jpg
Visualizações:	134
Tamanho: 	112,3 KB
ID:      	50173Clique na imagem para uma versão maior

Nome:	         lista 233 a 290 de  398  ips.jpg
Visualizações:	140
Tamanho: 	112,0 KB
ID:      	50174Clique na imagem para uma versão maior

Nome:	         lista 291 a  348 de  398 ips.jpg
Visualizações:	216
Tamanho: 	109,9 KB
ID:      	50175Clique na imagem para uma versão maior

Nome:	         lista 348 a  398  de  398 ips.jpg
Visualizações:	153
Tamanho: 	109,3 KB
ID:      	50176
    Citação Postado originalmente por Acronimo Ver Post
    use estas regras basta colar no newterminal

    /ip firewall filter
    add action=drop chain=input comment="drop ssh brute forcers" disabled=no dst-port=22 protocol=tcp src-address-list=SSH-LISTANEGRA
    add action=add-src-to-address-list address-list=SSH-LISTANEGRA address-list-timeout=17w1d chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ESTAGIO2
    add action=add-src-to-address-list address-list=ESTAGIO2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ESTAGIO1
    add action=add-src-to-address-list address-list=ESTAGIO1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp



    vai criar uma blacklist de ips, se errar 3 vezes ip é dropado
    Olá a todos! gostaria de agradecer o Acronimo que postou as regras acima, pois assim que vi o post inseri as regras no meu mikrotik e instantes antes de postar esta resposta tive um susto, pois com a nova regra instalada no mikrotik acessei o address-list e vi 398 ips na lista negra, os quais seguem as imagens em anexo, gostaria de ter exportado os ips, porem como estão em uma lista dinâmica, não consegui exportar, o mikrotik só exporta os endereços fixos dentro da lista.
    Se alguém souber como exportar a lista dinâmica do Mikrotik peço por gentileza que passe o procedimento!

    Faço questão de postar a lista completa caso outros tenham interesse em coloca-las em seus servidores!

    o que me deixou realmente espantado é que foi muito rápido o crescimento desta lista negra.

    Obrigado a Todos!

  19. #19
    Deus acima de tudo!
    Ingresso
    Jul 2009
    Localização
    Paulista - Pernambuco
    Posts
    409

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Não é brincadeira não amigo...

    Alguém conseguindo acesso ao qualquer um de nossos servidores, pode fazer praticamente tudo... Inclusive coletar informações de nossos clientes, como senhas de e-mail, cartões de crédito, dados bancarios e etc... E até fazer uso de nossa rede para infectar/atingir outras redes...

    Por isso esse tipo de informação deve sempre ser divulgada e técnicas compartilhadas.

    Não sei se você já fez, porém tenta mudar a porta padrão dos seus serviços.

    Abraço!

  20. #20
    Deus acima de tudo!
    Ingresso
    Jul 2009
    Localização
    Paulista - Pernambuco
    Posts
    409

    Padrão Re: Tentativas de Login Por Telnet E SSH

    Citação Postado originalmente por Acronimo Ver Post
    use estas regras basta colar no newterminal

    /ip firewall filter
    add action=drop chain=input comment="drop ssh brute forcers" disabled=no dst-port=22 protocol=tcp src-address-list=SSH-LISTANEGRA
    add action=add-src-to-address-list address-list=SSH-LISTANEGRA address-list-timeout=17w1d chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ESTAGIO2
    add action=add-src-to-address-list address-list=ESTAGIO2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp src-address-list=ESTAGIO1
    add action=add-src-to-address-list address-list=ESTAGIO1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 \
    protocol=tcp



    vai criar uma blacklist de ips, se errar 3 vezes ip é dropado
    Poderia está utilizando da mesma regra porém alterando apenas as portas para outros serviços, como ftp, telnet etc...