Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Tenho analisado meus logs ultimamente e percebi que todos os dias estou sendo alvo de ataques Brute force de vários IPs.... gostariad e saber se eu não sou o único....

    Código :
    sshd:
       Authentication Failures:
          unknown (200.129.178.33): 441 Time(s)
          andre (200.129.178.33): 10 Time(s)
          mailman (200.129.178.33): 10 Time(s)
          root (210.205.6.63): 8 Time(s)
          squid (200.129.178.33): 6 Time(s)
          nobody (200.129.178.33): 3 Time(s)
          root (201008166141.user.veloxzone.com.br): 1 Time(s)
          unknown (201008166141.user.veloxzone.com.br): 1 Time(s)
       Invalid Users:
          Unknown Account: 442 Time(s)

    Código :
    Failed logins from these:
       andre/password from 200.129.178.33: 10 Time(s)
       mailman/password from 200.129.178.33: 10 Time(s)
       nobody/password from 200.129.178.33: 3 Time(s)
       root/password from 201.8.166.141: 1 Time(s)
       root/password from 210.205.6.63: 8 Time(s)
       squid/password from 200.129.178.33: 6 Time(s)
     
    **Unmatched Entries**
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38207 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38256 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38306 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38367 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38413 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38486 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38535 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38583 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38634 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38681 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 38765 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 38853 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 38910 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 38951 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 39005 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 39051 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 39111 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 39155 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 39298 ssh2
    Invalid user lucas from 200.129.178.33
    Failed password for invalid user lucas from 200.129.178.33 port 46338 ssh2
    Invalid user lucas from 200.129.178.33
    Failed password for invalid user lucas from 200.129.178.33 port 46386 ssh2
    Invalid user lucas from 200.129.178.33
    Failed password for invalid user lucas from 200.129.178.33 port 46465 ssh2
    Invalid user mauricio from 200.129.178.33
    Invalid user lucas from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 46464 ssh2
    Failed password for invalid user lucas from 200.129.178.33 port 46509 ssh2
    Invalid user mauricio from 200.129.178.33
    Invalid user lucas from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 46544 ssh2
    Failed password for invalid user lucas from 200.129.178.33 port 46556 ssh2
    Invalid user mauricio from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 46594 ssh2
    Invalid user mauricio from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 46672 ssh2
    Invalid user mauricio from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 46756 ssh2
    Invalid user mauricio from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 46835 ssh2
    Invalid user mauricio from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 46875 ssh2
    Invalid user mauricio from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 46997 ssh2
    Invalid user mauricio from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 47053 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47264 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47311 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47403 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47493 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47548 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47596 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47643 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47687 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47729 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47795 ssh2
    Invalid user edson from 200.129.178.33
    Failed password for invalid user edson from 200.129.178.33 port 47851 ssh2
    Invalid user edson from 200.129.178.33
    Invalid user jorge from 200.129.178.33
    Failed password for invalid user edson from 200.129.178.33 port 47905 ssh2
    Failed password for invalid user jorge from 200.129.178.33 port 47886 ssh2

    percebam que as portas vão subindo, ou seja, um script que ta fazendo issu.... o estranho que tem IP até do japão...estes logs são apenas de hj...
    a lista de hj e 5 vezes maior do que esta que postei...

  2. Se serve de consolo na minha maquina tb ta acontecendo isso diariamente, varias vezes ao dia

    com ctz isso eh um script sim, mas as portas q vc falou q vao subindo sao as portas de origem, isso eh normal, cada nova conexao q ele fizer ele vai pegar uma porta, ecomo isso aparenta ser um script em loop com um dicionario de logins as portas parecem ser seguidas

    o negocio eh botar um snort+guardian pra bloquear isso



  3. #3
    Fabio_Laé
    Uma dica para amenizar o seu transtorno(mas não resolver) é colocar o seu servidor ssh para escutar em outra porta diferente da padrão.

    Melhor ainda se implementar honeypots no seu servidor dificultando ainda mais a identificação da sua porta e serviço real.

    E não se esqueça é claro de reforçar as senhas (principalmente de usuários comuns(se houver)).

    Boa Sorte,

    Fabio Laé

  4. Citação Postado originalmente por Fabio_Laé
    Uma dica para amenizar o seu transtorno(mas não resolver) é colocar o seu servidor ssh para escutar em outra porta diferente da padrão.

    Melhor ainda se implementar honeypots no seu servidor dificultando ainda mais a identificação da sua porta e serviço real.

    E não se esqueça é claro de reforçar as senhas (principalmente de usuários comuns(se houver)).

    Boa Sorte,

    Fabio Laé
    Aqui fiz isso; mudei a porta padrao do ssh, alem disso o snort+guardian tah rodando... tah limpinho meu log agora...



  5. sobe sua porta...

    faz uns 8 meses, des de que encontrei isso aqui, que subi minha porta ssh:

    http://www.frsirt.com/exploits/08202004.brutessh2.c.php

    Admin's caso seja necessario, podem retirar o link sem problemas.






Tópicos Similares

  1. Proteção contra Ataques Brute Force!
    Por Josevaldo no fórum Redes
    Respostas: 9
    Último Post: 18-01-2007, 09:45
  2. Análise - Meu server está sofrendo com "Brute Force"!
    Por capgaiotto no fórum Segurança
    Respostas: 2
    Último Post: 19-04-2006, 01:01
  3. programa de brute force
    Por jotacekm no fórum Servidores de Rede
    Respostas: 15
    Último Post: 27-01-2006, 16:34
  4. Ataque (brute force via ssh)
    Por fabianoheringer no fórum Servidores de Rede
    Respostas: 12
    Último Post: 16-01-2006, 10:41
  5. brute force via pop3
    Por whinston no fórum Servidores de Rede
    Respostas: 4
    Último Post: 15-08-2005, 10:58

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L