+ Responder ao Tópico



  1. #1
    guiga07
    Visitante

    Padrão Ataque SSH

    Bom dia pessoal, tenho um servidor com um firewall para compartilhar a net para o pessoal e as vezes eu preciso acessar remotamente este servidor entao eu uso o ssh, esta manhã verificando os logs, percebi que estou sofrendo tentativas de acessos via ssh. Percebi pois os ips de origem nao tem nada haver com minha rede interna e tambem nao sao ips validos, tipo do provedor do cara...... e tambem os usuarios que estao sendo usados para tentar fazer a conexao nao os conheco e tenho certeza q nunca os usei....... O que devo fazer fazer sou iniciante...paro de usar o acesso remoto? tem como eu madar uma mesagem para o invasor que estou monitorando estes tipos acessos? O que fazer ?

  2. #2

    Padrão Ataque SSH

    Mantenha uma boa senha de acesso ao seu servidor SSH...

    No log há o ip do "invasor" se for um ip fixo (que aparece varias vezes) tenta descobrir de quem eh e adverte ele.

    Isso ja aconteceu comigo.

  3. #3
    felco
    Visitante

    Padrão Ataque SSH

    Se isso te incomoda ou voce precisa ter confianca e certeza de que nao vai sair do ar troque a porta do ssh, voce pode colocar um banner(mensagem de boas vindas) alertando algo do tipo:

    "O acesso a esse servico e' restrito, somente pessoas autorizadas.
    Todo o acesso esta sendo registrado."

    Apesar que esse tipo de acao eh comum, tem muita gente procurando server com brecha para fazer spam por exemplo...

  4. #4

    Padrão Re: Ataque SSH

    Citação Postado originalmente por guiga07
    Bom dia pessoal, tenho um servidor com um firewall para compartilhar a net para o pessoal e as vezes eu preciso acessar remotamente este servidor entao eu uso o ssh, esta manhã verificando os logs, percebi que estou sofrendo tentativas de acessos via ssh. Percebi pois os ips de origem nao tem nada haver com minha rede interna e tambem nao sao ips validos, tipo do provedor do cara...... e tambem os usuarios que estao sendo usados para tentar fazer a conexao nao os conheco e tenho certeza q nunca os usei....... O que devo fazer fazer sou iniciante...paro de usar o acesso remoto? tem como eu madar uma mesagem para o invasor que estou monitorando estes tipos acessos? O que fazer ?
    não sei s é seu caso, mas se na outra ponta vc tiver ip fixo, pode restringir o acesso, ou seja, abre somente para o ip e bloqueia para o resto certo.

  5. #5

    Padrão Ataque SSH

    primeiro, instalar o snort + guardian, segundo, troca a porta do ssh pra outra..

    problema solucionado, ao trocar a porta pra outra, se ele tenta passa port scan o teu snort vai logar o ip dele e guardian vai barra no fw,

    flw

  6. #6
    charadaa
    Visitante

    Padrão Ataque SSH

    E só para complementar o que o pessoal postou, não esquece de proibir acesso ssh para root

  7. #7
    Visitante

    Padrão Ataque SSH

    Meus caros, esses ataques sao frequentes em todas as partes do mundo, n sao feitos por kiddies, mas sim por "bots" instalados em outras maquinas comprometidas, na minha rede o ssh só está disponivel para a rede interna e o prob está resolvido, basta uma regra de iptables

    iptables -A INPUT -p tcp -i eth1 --dport 22 -j DROP

    supondo que eth1 é a interface ligada á Internet.

    Um abraço[]

  8. #8

    Padrão Ataque SSH

    Problema resolvido se o cidadão não precisar dar manutencão remota!