Ataque por wordlist

**WhiteTiger** · 16-06-2005, 20:12

Aeee galera. Estava eu dando uma olhada nos logs do meu firewall e me deparo com a seguinte situação. Alguem tentou acessar por ssh de um determinado ip usando trocentos usuários diferentes. O cabra deve ter deixado um sript que sai tentando os users de uma wordlist.

O que eu queria saber eh se tem como eu determinar quantas tentativas um ip pode tentar acessar por ssh o meu server sem conseguir entrar e se utrapassar eu barro totalmente este determinado ip.

**sergio** · 16-06-2005, 20:28

aqui eu mudei a porta padrao do ssh e estas porcarias pararam de apurrinhar.

16-06-2005, 20:50

mudando a porta funciona.
mas o ideal é o snort + guardian

karfax · 17-06-2005, 03:08

Também é legal, eu uso PasswordAuthentication no, isso força o login só ser possivel para usuários que tenham um certificado válido.

[]s,

17-06-2005, 08:12

legal essa dica!

com PasswordAuthentication no

quando pedir o login do usuário e digitar errado cai fora já ?

chega a gravar em log ?

**WhiteTiger** · 17-06-2005, 09:09

Mas eu gostaria de colocar um número de tentativa. Tipo: depois de 5 tentativas erradas ele bloqueia o ip. Algo assim. E lógico tem de ir para log.(mas isso jah eh natural)

**Brenno** · 17-06-2005, 10:46

Postado originalmente por White_Tiger

Mas eu gostaria de colocar um número de tentativa. Tipo: depois de 5 tentativas erradas ele bloqueia o ip. Algo assim. E lógico tem de ir para log.(mas isso jah eh natural)

tem 2 maneiras, vc adicionando o conlimit no seu fw, ou snort +guardian

no conf do snort vc pode definir isso,

abraço

17-06-2005, 11:54

Postado originalmente por Brenno

Postado originalmente por White_Tiger

Mas eu gostaria de colocar um número de tentativa. Tipo: depois de 5 tentativas erradas ele bloqueia o ip. Algo assim. E lógico tem de ir para log.(mas isso jah eh natural)

tem 2 maneiras, vc adicionando o conlimit no seu fw, ou snort +guardian

no conf do snort vc pode definir isso,

abraço

Como faço para fazer o conlimit?

slice · 17-06-2005, 12:02

faça um script que leia os logs do teu firewall e após acusar x tentativas erradas do mesmo ip ele bloqueia via iptables...

whinston · 18-06-2005, 00:17

to vendo isto nos meus fw tb..
alem de trocar de porta, eu nao deixo aberto pra todo ip, soh para os meus
já tentei fz o certificado pra conectar via ssh, ao inves de senha, mas tb nao consegui

o problema destes ataques eh q o servidor fica lento q doi

rmars · 18-06-2005, 08:39

Legal a idéia do script para analisar os logs!
Uma maneira original de se solucionar o problema, no mais puro estilo Perl, Sempre há mais de uma maneira de se fazer o q se quer fazer

DarkPrince · 18-06-2005, 09:33

Cara, vc teve boas dicas, mas se quiser ainda colocar um IDS irá cair tb como luvas no q vc quer. Há IDS que identificam o IP, na falha no login, ele pode barrar aquele IP por algum tempo, na insistencia barrará por mais tempo e depois pode chegar a bloquea-lo, vai depender da sua confg. Procure IDS diacordo com sua distro.

whinston · 18-06-2005, 10:02

Postado originalmente por DarkPrince

Cara, vc teve boas dicas, mas se quiser ainda colocar um IDS irá cair tb como luvas no q vc quer. Há IDS que identificam o IP, na falha no login, ele pode barrar aquele IP por algum tempo, na insistencia barrará por mais tempo e depois pode chegar a bloquea-lo, vai depender da sua confg. Procure IDS diacordo com sua distro.

deve ser falta de experiência da minha parte, mas o snort + pigmeat não tá me satisfazendo cara, tá dando muito falso positivo.

que IDS vc recomenda pra fz isto q vc disse, de identificar falhas no login ?

**rfm** · 19-06-2005, 12:17

Postado originalmente por whinston

to vendo isto nos meus fw tb..
alem de trocar de porta, eu nao deixo aberto pra todo ip, soh para os meus
já tentei fz o certificado pra conectar via ssh, ao inves de senha, mas tb nao consegui

o problema destes ataques eh q o servidor fica lento q doi

Ola, como faço pra colocar a classe de IP, isso é pra liberar so pro meus IP

Ataque por wordlist

Ferramentas de Tópicos