+ Responder ao Tópico



  1. #1

    Exclamation Problema com ataque

    Atualmente temos um ASN, porém em poucos dias de uso já recebemos notificações de um determinado IP atacando via SSH um site. Quais as medidas cabíveis? bloqueio o acesso ssh de clientes?

    Dear Sir/Madam,

    we have detected abuse from the IP address 170.xx.xxx.90, which according to a
    whois lookup is on your network. We would appreciate if you would investigate
    and take action as appropriate.

    Log lines are given below, but please ask if you require any further information.

    If you are not the correct person to contact about this please accept our apologies -
    your e-mail address was extracted from the whois record by an automated process.
    This mail was automatically generated.

    Note: Local timezone is +0100 (CET)

    Jan 14 13:43:54 xxx sshd[1571]: Invalid user secret from 170.xx.xxx.90
    Jan 14 13:43:54 xxx sshd[1571]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=170.xx.xxx.90
    Jan 14 13:43:55 xxx sshd[1571]: Failed password for invalid user secret from 170.xx.xxx.90 port 49381 ssh2
    Jan 14 13:43:58 xxx sshd[1571]: Failed password for invalid user secret from 170.xx.xxx.90 port 49381 ssh2
    Jan 14 13:44:00 xxx sshd[1571]: Failed password for invalid user secret from 170.xx.xxx.90 port 49381 ssh2
    Jan 14 13:44:03 xxx sshd[1571]: Failed password for invalid user secret from 170.xx.xxx.90 port 49381 ssh2

  2. #2
    tecnico chefe Avatar de naldo864
    Ingresso
    May 2010
    Localização
    Carapicuíba, Brazil, Brazil
    Posts
    3.131
    Posts de Blog
    1

    Padrão Re: Problema com ataque

    bloqueia o cliente que esta atacando tira um print do ip dele e informa ao mesmo o problema ,
    as vezes pode ser so o pc dele com viruz

  3. #3

    Padrão Re: Problema com ataque

    estou com o mesmo problema, porém não é só um cliente não.

  4. #4

    Padrão Re: Problema com ataque

    Pega o extrato do cliente para confirmar o horário com ele...
    Anexa o email recebido...
    Observe que o horario pode não bater, será necessário o calculo para acerto dos mesmo, pois o email recebido timezone is +0100 (CET), e o horário nosso é GMT -3

  5. #5

    Padrão Re: Problema com ataque

    Bom dia amigo, verifiquei aqui, e o cliente é o mesmo desde que subi o BGP, recomenda alguma ação necessária? bloqueio da porta ssh? o que achei estranho é a porta 35185 no caso essa séria a porta de entrada e a porta do serviço seria 82222? Pode me dar alguma dica?

  6. #6

    Padrão Re: Problema com ataque

    É a porta alocada de source.

    Jan 14 13:44:03 xxx sshd[1571]: Failed password for invalid user secret from 170.xx.xxx.90 port 49381 ssh2

    Nesse caso, a source reservou a 49381 mas o destino deve ser a 22 mesmo.

  7. #7
    Moderador Avatar de Bruno
    Ingresso
    Nov 2002
    Localização
    Guarapuava-PR
    Posts
    4.181
    Posts de Blog
    1

    Padrão Re: Problema com ataque

    Citação Postado originalmente por eduardofr Ver Post
    Bom dia amigo, verifiquei aqui, e o cliente é o mesmo desde que subi o BGP, recomenda alguma ação necessária? bloqueio da porta ssh? o que achei estranho é a porta 35185 no caso essa séria a porta de entrada e a porta do serviço seria 82222? Pode me dar alguma dica?
    Boa Tarde

    Provavelmente é em cima da porta 22, esta outras portão é do lado source normal
    fica complicado estes tempo atras por causa do virus da ubnt tava atacando todo mundo eu fiz um drop na porta 22 na minha rede e pedi pros meus clientes que usam ssh mudar a porta