Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    vfsmount
    Visitante

    Padrão Invasão - slackware 10.1

    Saudações amigos do forum

    Estou com um sério problema!
    Tenho um servidor linux slackware 10.1, que serve pra mim como servidor de internet e arquivos pra minha pequena rede em casa, hoje, por incrivel que pareca ( eu nunca faco isso), decidi olhar meu /var/log/messages

    qual nao foi minha surpresa ao constatar mais de mil linhas com a seguinte descricao

    Set 1 12:10:23 Server sshd[22362] : Invalid user darwin from 210.xxx.xxx.xxx

    gente. tem muitas linhas, mas muitas mesmo, tudo mudando o nome do usuario e a porta, geralmente portas altas.
    dei um traceroute ip, e chegou a aparecer dominios .jp

    o que eu posso fazer gente? até agora o fulano nao entrou, mas deve ser algum brutal force rodando, será que uma hora ou outra ele nao acaba fazendo coisa errada. Meu servidor fica ligado 24 horas por dia, por q meus irmaos nunca tem uma hora especifica pra ficar em casa, entao a internet é usada constantemente.

    tem como saber de onde vem essas conexoes? meu conhecimento é um pouco limitado, mas posso aprender, a agua ta batendo! hehehe

    Obrigado a quem leu até aqui.
    Rodolpho

  2. #2
    Sup0rt3
    Visitante

    Padrão Invasão - slackware 10.1

    Cara axo que nem adianta ficar correndo atras de quem da tentando. O esquema é fazer um firewall pra essa maquina com politica drop e liberar o que vc ta precesando so. Se eles acharem que esta muito dificil quebra sua segurança eles vão procurar algo mais facil e deixar pra lá.

  3. #3

    Padrão normal..

    isso é extremamente normal acontecer, são desoculpados que deixam exploits rodando procurando por irresponsaveis utilizando senhas fáceis e padroes.. Duas dicas: mude a porta de funcionamento do seu ssh para algo nao muito comum, e bloquei no seu firewall entradas de ips que nao sejam BRS com inicios 201 ou 200 entrantes pela interface web na porta de seu ssh. Levando em conta que a grande maioria desse tipo de tentativas partem de outras localidades que nao seja BRASIL. essa é minha contribuição.

  4. #4

    Padrão Invasão - slackware 10.1

    Pode tentar por um snort + guardian e começar a barrar os ips dessas tentativas ae.

    falows

  5. #5
    SnifferSp
    Visitante

    Padrão Invasão - slackware 10.1

    é manin ja tive esse problema, hoje eu uso o snort + guardian configuracao basica.

    meu nao tenho mais esse tipo de problemas,,

    e nem adianta vc correr atraz de quem ta tentando que vc nao vai chegar a lugar nenhum.

    [ ]'s

  6. #6

    Padrão Invasão - slackware 10.1

    Kra.. se acostuma com isso.. é normal..
    libera o ssh só para a sua classe.. ou para as que você usa.. normalmente essas tentativas de conexao vem de fora do pais.. entao libera so pro 200.*.*.*/8
    201.*.*.*/8

    sei la.. tentativa sempre teve.. seria mesma coisa voce achar um webmail por aí e ficar tentando login e senha.. eheh

    Vc é o root.. faça como bem entender..

    Valeu

  7. #7
    alex_sorocaba
    Visitante

    Padrão Invasão - slackware 10.1

    indicaria configurar bem o firewall
    snort pode ser um porta de entrada para o invasor

  8. #8

    Padrão Invasão - slackware 10.1

    Com certeza os desocupados não tentam todas portas da máquina. Sugiro trocar a porta do daemon.
    Abraços

  9. #9

    Padrão Invasão - slackware 10.1

    Autorize as conexoes ao sshd somete aos IP's da rede local..isto klaro se vc n precisar aceder ao servidor por fora..

  10. #10

    Padrão Invasão - slackware 10.1

    Isso mesmo, autorize por iptables ssh apenas pra vc ou sua classe, e muito importante tb, use tcp-wrappers... Arquivos hosts.allow e hosts.deny

  11. #11
    alex_sorocaba
    Visitante

    Padrão Invasão - slackware 10.1

    Um bom atacante, não seria enganado ou desencorajado soh com a mudança de porta do serviço

    Citação Postado originalmente por ph0enix
    Com certeza os desocupados não tentam todas portas da máquina. Sugiro trocar a porta do daemon.
    Abraços

  12. #12

    Padrão outra sugestão

    para bloquear especificamente este cara da um whois e ve qual o provedor de acesso do cara, entaum bloqueia so os ip's do provedor, a naum ser que ele use varios dominios ( se o cara ja tem mais maquina invadida que ele controla e usa pra tentar achar mais naum fununcia)

  13. #13
    Visitante

    Padrão Invasão - slackware 10.1

    Bom dia amigo, acontece comigo constantemente.. tipo.. eu usei esse script e deu certo.. v dá uma olhadinha nele.. eh simples.. mas barrou um bucado dessas tentativas.. dae.. coloca no cron pra rodar de tempo e tempos prele pegar e talz

    Código :
    #!/bin/sh
    # Desenvolvido por José Roberto da Silva
    # Testado no slackware 9 e 10.
    #
    ####
     
    tempip="/home/luiz/blocked-ips.tmp";
    blockip="/home/luiz/blocked-ips";
    script="/home/luiz/fir_blocked";
     
    # separa todos os ips que tentaram bruteforce utilizando os usuarios guest/teste                                              /admin
    cat -n /var/log/messages | grep -P "(guest|test|admin|user|staff|temp|www|wwwrun                                              |http|httpd|web|info|backup|data|webmaster|mailman|man|drop|login|ircd|help)" |                                               grep -i sshd | awk -F" " '{ print $11}' > $tempip;
     
    # faz backup da lista de ips bloqueados
    if [ -f $blockip ]; then
       cat $blockip >> $tempip;
    fi
     
    # remove ips duplicados
    sort -u $tempip | grep -v ^$ | grep -v user > $blockip;
     
    # gera um script que bloqueia o ip através do iptables
    ips=$(cat $blockip);
    echo "iptables -F INPUT" > $script;
    for ip in $ips ; do
      blocked=("iptables -A INPUT -s $ip -j DROP")
      echo $blocked >> $script
    done
    chmod +x $script
    $script

  14. #14
    enochian
    Visitante

    Padrão Invasão - slackware 10.1

    cara usa o ossec ;)

  15. #15

    Padrão Invasão - slackware 10.1

    qual o comando do IPTABLES para ligar o log dessas invasoes?

    Obrigado
    Fabricio

  16. #16

    Padrão Invasão - slackware 10.1

    Galera , boa noite. Estou com o mesmo problema do nosso amigo vfsmount, na nossa rede na empresa.
    Tem trocentas páginas de tentativas de acesso na porta sshd, no /var/log/messages. O nosso acesso a net, ficou bem lento depois disso. Se puderem me dar uma dica mais clara de como faço para melhorar isso, eu fico muito grato. Eu uso o Slackware 10.1 como servidor de internet. Na nossa empresa temos cerca de 65 a 70 usuários acessando a net. O acesso estava ótimo no início, fomos até elogiados pela diretoria pelo bom trabalho nesse servidor. Mas de cerca de 3 semanas para cá ficou lento mesmo. Aí vendo os logs ví isso no /var/log/messages. Como faço para mudar a porta do ssh ??? Gostaria de entender, como fazer isso. E honestamente, não entendi o script do nosso amigo que descreveu acima. Peço ajuda mesmo. A política do nosso firewall é DROP prá tudo. Depois abrimos as portas necessárias. Mas esta uma loucura esse /var/log/messages.
    Um grande abraço a todos , e que Deus nos abençõe ...... :toim: :toim: :toim:

  17. #17

    Padrão Invasão - slackware 10.1

    Cara pra mudar a porta do ssh é so editar o arquivo sshd_config e por a porta que vc quer.

    falows

  18. #18

    Padrão Invasão - slackware 10.1

    Ruyneto, obrigado por responder.
    EStou no arquivo que você mencionou. Ao alterar essa porta, eu preciso modificar alguma coisa no firewall por exemplo ???
    Você pelo seu conhecimento, sugeriria uma porta alta, baixa ??? E essa mudança não pode afetar algum outro serviço que possa estar rodando na porta que por acaso eu escolher ??? Como você procederia nesse caso ???
    Perdõe-me por favor por estar incomodando .......
    Um grande abraço e obrigado .......... :good: :clap:

  19. #19

    Padrão Invasão - slackware 10.1

    Citação Postado originalmente por pssgyn
    Ruyneto, obrigado por responder.
    EStou no arquivo que você mencionou. Ao alterar essa porta, eu preciso modificar alguma coisa no firewall por exemplo ???
    Você pelo seu conhecimento, sugeriria uma porta alta, baixa ??? E essa mudança não pode afetar algum outro serviço que possa estar rodando na porta que por acaso eu escolher ??? Como você procederia nesse caso ???
    Perdõe-me por favor por estar incomodando .......
    Um grande abraço e obrigado .......... :good: :clap:
    Cara eu não recomendo portas altas devido a variação de portas que o linux pode usar, mas nada impede, a unica coisa que tem de tomar cuidado é não usar a porta baixa que algum outro programa use.
    E no firewall tudo que é porta 22 vira essa nova porta.

    falows

  20. #20

    Padrão Invasão - slackware 10.1

    Obrigado mais uma vez . Mas ao mudar a porta para uma porta por exemplo, eu vou ter que liberar essa porta no firewall e bloquear a porta 22 ??? Seria isso ??? Desculpe-me caro amigo, por estar abusando da sua boa vontade. Estou olhando aqui no /etc/services , e tem bastante porta baixa, com alguns serviços com nomes estranhos, mas que imagino que não devam estar rodando nada.
    Obrigado Ruyneto. Deus te abençõe meu caro ....... :good: