+ Responder ao Tópico



  1. #1

    Padrão Tentativa de invasao mikrotik.

    Vou postar um print que tirei do meu mikrotik sera que estou sendo atacado se estiver como proceder.
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         ataque.png
Visualizações:	1754
Tamanho: 	224,3 KB
ID:      	55657  

  2. #2

    Padrão Re: Tentativa de invasao mikrotik.

    Boa noite amigo, isso é apenas os botnet tentando logar no seu mk através da porta 22 (ssh), você pode "desativar" o login para todos indo em Ip/Services procure por SSH, ponha em Avaliable ip o seu ip local ou toda sua rede interna, outra forma seria via firewall, barrando o acesso externo ou filtrando (Mais difícil).
    Se ajudei manda um joinha :0

  3. #3
    SUPORTE E CONSULTORIA Avatar de Acronimo
    Ingresso
    Oct 2008
    Localização
    Rio de Janeiro - RJ
    Posts
    2.106
    Posts de Blog
    1

    Padrão Re: Tentativa de invasao mikrotik.

    programas robos qualquer equipamento sofre este ataque, no mikrotik é mais visivel devido a usar muito o log

    use estas regras

    /ip firewall filter
    add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes
    add action=drop chain=input comment="DROP SSH BRUTE FORCERS ( BLACK LIST )" \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=4w2d chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp
    add action=drop chain=input comment="BLOQUEIO SSH - PORT 22-23" disabled=no \
    dst-port=22-23 protocol=tcp

    /ip firewall filter
    add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="BARRAR BRUTE FORCA PARA FTP"
    add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
    add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h


    /ip firewall filter
    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Port Scanners a lista de bloqueados por 99hs" disabled=no protocol=tcp psd=20,3s,3,1


    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Mass Scanners a lista de bloqueados por 99hs" disabled=no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack


    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Null Scanners a lista de bloqueados por 99hs" disabled=no protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg


    ## Agora vamos dropar as tentativas de conexão com o router dos ips detectados. ##
    add action=drop chain=input comment="Dropa conexoes de scanners" disabled=no protocol=tcp src-address-list=bloqueados
    Última edição por Acronimo; 02-11-2014 às 13:35. Razão: fontes

  4. #4

    Padrão Re: Tentativa de invasao mikrotik.

    Um boa pratica e bloquear as portas que voce nao usa e de acesso a parti de redes que nao deveria.
    E so alterar a porta padrao do SSH para outra e dropar IP ou interface que nao deveria ter acesso.
    A regra de firewall que foi postada aqui funciona muito bem para impedir força bruta embora eu prefiro fazer uma sessão VPN na central e ter acesso ao meus equipamentos a parti da rede interna assim so libero acesso a minha rede.
    Um outra coisa que voce pode fazer e negar acesso a parti de IP internacional ou seja nao tem o porque de IP de outro pais tentar acessar seus equipamentos.
    Altere a senha do ADMIN tambem, nao deixe padrao pois ja peguei provedores com senha ADMIN em branco. Eu costumo tirar o nivel de acesso do admin para read e coloco um outro usuario como acesso FULL e so permito este usuario acessar com IP da minha rede, lembrando que faço VPN para acessar.

  5. #5

    Padrão Re: Tentativa de invasao mikrotik.

    Mudando a porta padrão do SSH você já consegue fugir de 99% dos bots, só receberá tentativas se o ataque for realmente direcionado a você. Mas é claro que regras de firewall são sempre bem vindas.