+ Responder ao Tópico



  1. #1

    Padrão Ataque por wordlist

    Aeee galera. Estava eu dando uma olhada nos logs do meu firewall e me deparo com a seguinte situação. Alguem tentou acessar por ssh de um determinado ip usando trocentos usuários diferentes. O cabra deve ter deixado um sript que sai tentando os users de uma wordlist.

    O que eu queria saber eh se tem como eu determinar quantas tentativas um ip pode tentar acessar por ssh o meu server sem conseguir entrar e se utrapassar eu barro totalmente este determinado ip.

  2. #2
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão Ataque por wordlist

    aqui eu mudei a porta padrao do ssh e estas porcarias pararam de apurrinhar.



  3. #3
    Visitante

    Padrão Ataque por wordlist

    mudando a porta funciona.
    mas o ideal é o snort + guardian

  4. #4
    karfax
    Visitante

    Padrão Ataque por wordlist

    Também é legal, eu uso PasswordAuthentication no, isso força o login só ser possivel para usuários que tenham um certificado válido.

    []s,



  5. #5
    Visitante

    Padrão Ataque por wordlist

    legal essa dica!

    com PasswordAuthentication no

    quando pedir o login do usuário e digitar errado cai fora já ?

    chega a gravar em log ?

  6. #6

    Padrão Ataque por wordlist

    Mas eu gostaria de colocar um número de tentativa. Tipo: depois de 5 tentativas erradas ele bloqueia o ip. Algo assim. E lógico tem de ir para log.(mas isso jah eh natural)



  7. #7

    Padrão Ataque por wordlist

    Citação Postado originalmente por White_Tiger
    Mas eu gostaria de colocar um número de tentativa. Tipo: depois de 5 tentativas erradas ele bloqueia o ip. Algo assim. E lógico tem de ir para log.(mas isso jah eh natural)
    tem 2 maneiras, vc adicionando o conlimit no seu fw, ou snort +guardian

    no conf do snort vc pode definir isso,

    abraço

  8. #8
    Visitante

    Padrão Ataque por wordlist

    Citação Postado originalmente por Brenno
    Citação Postado originalmente por White_Tiger
    Mas eu gostaria de colocar um número de tentativa. Tipo: depois de 5 tentativas erradas ele bloqueia o ip. Algo assim. E lógico tem de ir para log.(mas isso jah eh natural)
    tem 2 maneiras, vc adicionando o conlimit no seu fw, ou snort +guardian

    no conf do snort vc pode definir isso,

    abraço
    Como faço para fazer o conlimit?



  9. #9
    slice
    Visitante

    Padrão Ataque por wordlist

    faça um script que leia os logs do teu firewall e após acusar x tentativas erradas do mesmo ip ele bloqueia via iptables...

  10. #10
    whinston
    Visitante

    Padrão idem

    to vendo isto nos meus fw tb..
    alem de trocar de porta, eu nao deixo aberto pra todo ip, soh para os meus
    já tentei fz o certificado pra conectar via ssh, ao inves de senha, mas tb nao consegui

    o problema destes ataques eh q o servidor fica lento q doi



  11. #11
    rmars
    Visitante

    Padrão Ataque por wordlist

    Legal a idéia do script para analisar os logs!
    Uma maneira original de se solucionar o problema, no mais puro estilo Perl, Sempre há mais de uma maneira de se fazer o q se quer fazer


  12. #12
    DarkPrince
    Visitante

    Padrão Ataque por wordlist

    Cara, vc teve boas dicas, mas se quiser ainda colocar um IDS irá cair tb como luvas no q vc quer. Há IDS que identificam o IP, na falha no login, ele pode barrar aquele IP por algum tempo, na insistencia barrará por mais tempo e depois pode chegar a bloquea-lo, vai depender da sua confg. Procure IDS diacordo com sua distro.



  13. #13
    whinston
    Visitante

    Padrão snort ta fraco

    Citação Postado originalmente por DarkPrince
    Cara, vc teve boas dicas, mas se quiser ainda colocar um IDS irá cair tb como luvas no q vc quer. Há IDS que identificam o IP, na falha no login, ele pode barrar aquele IP por algum tempo, na insistencia barrará por mais tempo e depois pode chegar a bloquea-lo, vai depender da sua confg. Procure IDS diacordo com sua distro.
    deve ser falta de experiência da minha parte, mas o snort + pigmeat não tá me satisfazendo cara, tá dando muito falso positivo.

    que IDS vc recomenda pra fz isto q vc disse, de identificar falhas no login ?

  14. #14

    Padrão Re: idem

    Citação Postado originalmente por whinston
    to vendo isto nos meus fw tb..
    alem de trocar de porta, eu nao deixo aberto pra todo ip, soh para os meus
    já tentei fz o certificado pra conectar via ssh, ao inves de senha, mas tb nao consegui

    o problema destes ataques eh q o servidor fica lento q doi

    Ola, como faço pra colocar a classe de IP, isso é pra liberar so pro meus IP