Oque é isso ?

**gbruza** · 05-05-2017, 00:54

Boa noite, olhando agora no log do mikrotik apareceu isso.. acho que não é normal rsrs

Clique na imagem para uma versão maior

Nome: Capturar.PNG
Visualizações: 142
Tamanho: 24,1 KB
ID: 66819

Se alguém puder ajudar a me dizer o que é fico agradecido.

Obrigado boa noite !

**wld.net1** · 05-05-2017, 01:33

Diz um sábio que se trata de uma tentativa de acesso remoto, que com um simples firewall resolve seu problema! Ou até mesmo alterando a porta de serviço.

**Jpaulo** · 05-05-2017, 01:36

Isso mesmo wld.net1 kkkkk kk

**gbruza** · 05-05-2017, 10:38

Bom dia,

já imaginava isso, oque posso fazer para resolver isso ?

Obrigado

**gbruza** · 05-05-2017, 10:47

como saber se deu certo esse ataque ?

como me proteger ?

**vagnerricardo** · 05-05-2017, 10:48

Várias coisas , isso é um dos vários portscanners que rodam na internet, mude a porta do SSH para uma porta diferente do costume, ou, desative ela em ip/services. eu costumo colocar outra numeração padrão pra minha rede interna...

**gbruza** · 05-05-2017, 11:42

Entendi, eu fazendo isso vou ficar protegido?
Preciso resetar a rb ?
Obrigado

**Jpaulo** · 05-05-2017, 11:44

Não precisa dar reset, apenas altera a porta SSH coloca mas 2 números e pronto. Só ir em services.

**eduardomazolini** · 05-05-2017, 13:49

Eu tenho umas regras pra bloquei no estilo do failtoban.

Código :

/ip firewall filter
add action=jump chain=input comment="lista acesso" dst-port=22 jump-target=acesso protocol=tcp tcp-flags=syn
add action=jump chain=input comment="lista acesso" dst-port=8291 jump-target=acesso protocol=tcp tcp-flags=syn
add action=accept chain=acesso comment="nao barra interno pra fora" dst-address-list=!interno src-address-list=interno
add action=accept chain=acesso comment="nao barra confiaveis" src-address-list=confiaveis
add action=add-src-to-address-list address-list="drop acesso" address-list-timeout=1d chain=acesso comment="lista perm" src-address-list="acesso lista 3"
add action=add-src-to-address-list address-list="acesso lista 3" address-list-timeout=15s chain=acesso comment="lista 3" src-address-list="acesso lista 2"
add action=add-src-to-address-list address-list="acesso lista 2" address-list-timeout=10s chain=acesso comment="lista 2" src-address-list="acesso lista 1"
add action=add-src-to-address-list address-list="acesso lista 1" address-list-timeout=5s chain=acesso comment="lista 1"
add action=drop chain=acesso comment="drop acesso action" src-address-list="drop acesso"

**gbruza** · 05-05-2017, 16:52

poderia por gentileza me explicar melhor como inserir essas regras no mk, tenho receio de fazer errado e só piorar

Obrigado

**vagnerricardo** · 05-05-2017, 17:51

abra o terminal, copie essa regra que nosso amigo eduardo postou cole lá e aperte enter.

se deu certo vá no menu ip -> firewall> aba filter e veja se apareceram regras.

**eduardomazolini** · 05-05-2017, 18:05

Não faz nada que não entenda.
Não posso te explicar como colocar regras, sem te ensinar sobre firewall.
Eu espero que você aproveite as minhas regras pra estudar.
Quando souber o que elas fazem, vai poder achar elas boas ou não, adaptar a sua necessidade.

Fazer uma analogia
- primeiro você aprende a escrever - seu conhecimento de firewall
- depois você lê livros - minhas regras
- ai você escreve uma redação - usa minhas regras

Eu ainda olho muitas regras dos outros pra aprender, por isso estou aqui no fórum pra aprender com os outros, mas precisa se esforçar um pouco.
Hoje mesmo to buscando ver umas regras de controle de banda, eu sei como funciona, mas não sei se o que faço é o melhor. To buscando uma poesia de controle de banda.

**gbruza** · 05-05-2017, 18:29

entendi, vou fazer isso obrigado.

**gregorypv** · 06-05-2017, 02:23

Tentativa de acesso

**gregorypv** · 06-05-2017, 02:26

Eu só sou notificado pelo app 2h da manhã. Acontece com alguém tb isso?

**fabiospfreitas** · 06-05-2017, 05:59

Ja vi isso no mk tb, eu costumo mudar as portas de acesso.

Sent from my LG-K430 using UnderLinux mobile app

**vagnerricardo** · 06-05-2017, 07:50

Postado originalmente por gregorypv

Eu só sou notificado pelo app 2h da manhã. Acontece com alguém tb isso?

Se você ler as respostas ja te demos o caminho das pedras basta colocar em prática o quanto antes ou aguardar que o portscanner quebre sua senha.

**andrecarlim** · 06-05-2017, 09:40

Postado originalmente por vagnerricardo

Se você ler as respostas ja te demos o caminho das pedras basta colocar em prática o quanto antes ou aguardar que o portscanner quebre sua senha.

Quebrar a senha é meio punk, ainda mais se tratando de SSH, particularmente eu nunca vi esse tal de "quebrar a senha", o que eu realmente vejo por aí é "descoberta de senha" comum/simples, vou ser honesto, se usar uma senha curta e boa nunca vai ter problema, agora se usar uma senha muito previsível, é só uma questão de tempo a descoberta dela!

Daí vem alguém dizer: ahh André tu é chato demais cara, deixe de ser mala, é melhor trocar a porta do serviço. Mas eu digo: espera, estamos falando de senha ou um possível bug no protocolo/aplicação que trata o serviço? Porque se for um bug nenhuma senha boa ajudará, apenas a troca da porta ou talvez o bloqueio da porta pelo firewall.

Mas pra ser honesto em 12 anos de trabalho com Linux, nunca, nenhum dos servidores Linux que mantenho foram "prejudicados" por bug de aplicação, e pra falar a verdade nem dos Windows, apenas uma vez que esqueci de trocar a famosa senha de um Windows server 2003, "Zaq12wsx", foi interessante!

Se você tem uma boa senha, e o log não te incomoda, não vejo o porquê ficar fazendo "malabarismo".

**alextaws** · 06-05-2017, 19:15

ainda não deu, isso é uma espécie de brute force, fica tentando inúmeros usuários e senhas aleatórios até uma da certo, pode resolver isso de muitas maneiras, com indo em

ip -- > services = desative as portas ssh, telnet e ftp, se não quiser desativar pode alterar elas, mais utiliza portas altas caso vá alterar.

A outra seria restringir o acesso ao roteador classificando por portas ou por range de ip, eu utilizo por portas, pode suar assim.

Regra INPUT, em destination port, coloque as portas que terão acesso ao mesmo, e da um ACCEPT, e crie outra dropando o resto.

**alextaws** · 06-05-2017, 19:17

Postado originalmente por andrecarlim

Quebrar a senha é meio punk, ainda mais se tratando de SSH, particularmente eu nunca vi esse tal de "quebrar a senha", o que eu realmente vejo por aí é "descoberta de senha" comum/simples, vou ser honesto, se usar uma senha curta e boa nunca vai ter problema, agora se usar uma senha muito previsível, é só uma questão de tempo a descoberta dela!

Daí vem alguém dizer: ahh André tu é chato demais cara, deixe de ser mala, é melhor trocar a porta do serviço. Mas eu digo: espera, estamos falando de senha ou um possível bug no protocolo/aplicação que trata o serviço? Porque se for um bug nenhuma senha boa ajudará, apenas a troca da porta ou talvez o bloqueio da porta pelo firewall.

Mas pra ser honesto em 12 anos de trabalho com Linux, nunca, nenhum dos servidores Linux que mantenho foram "prejudicados" por bug de aplicação, e pra falar a verdade nem dos Windows, apenas uma vez que esqueci de trocar a famosa senha de um Windows server 2003, "Zaq12wsx", foi interessante!

Se você tem uma boa senha, e o log não te incomoda, não vejo o porquê ficar fazendo "malabarismo".

Muito bem lembrado andre, mais para os novatos (como eu no começo) pensava ser diferente

Oque é isso ?

Ferramentas de Tópicos

Oque é isso ?

Re: Oque é isso ?

Re: Oque é isso ?

Re: Oque é isso ?

Re: Oque é isso ?

Re: Oque é isso ?

Re: Oque é isso ?

Re: Oque é isso ?

Re: Oque é isso ?

Re: Oque é isso ?

Re: Oque é isso ?

Re: Oque é isso ?

Re: Oque é isso ?

Re: Oque é isso ?

Re: Oque é isso ?

Re: Oque é isso ?

Re: Oque é isso ?

Re: Oque é isso ?

Re: Oque é isso ?