+ Responder ao Tópico



  1. #1
    fpmazzi
    Sep 30 05:55:57 ferrari sshd(pam_unix)[4355]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=148.208.213.1 user=root
    Sep 30 05:56:02 ferrari sshd(pam_unix)[4357]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=148.208.213.1 user=root
    Sep 30 05:56:08 ferrari sshd(pam_unix)[4359]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=148.208.213.1 user=root
    Sep 30 05:56:13 ferrari sshd(pam_unix)[4361]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=148.208.213.1 user=root
    Sep 30 05:56:18 ferrari sshd(pam_unix)[4363]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=148.208.213.1 user=root
    Sep 30 05:56:23 ferrari sshd(pam_unix)[4365]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=148.208.213.1 user=root


    pessoal é impressão minha ou estão tentando conectar no meu servidor?

  2. #2
    rato16br
    Nao e impressao nao companheiro, estao tentando acesso ao seu micro utilizando o ssh. Aconselho a vc para diminuir esse risco alterar a porta para conexao.


    Espero ter ajudado



  3. #3
    fpmazzi
    valew brow, tem como sabe donde vem esse ip?

    fora a porta, tem alguma outra dica?

    Grato.... 6)

  4. Citação Postado originalmente por fpmazzi
    valew brow, tem como sabe donde vem esse ip?

    fora a porta, tem alguma outra dica?

    Grato.... 6)
    roda ae:

    [root@mx10 ~]# whois 148.208.213.1

    existem muitos bots que ficam fazeno varredura na internet a procura de servidores ssh e tentam acessá-los com brute force.....utilizando usuarios e senhas mais comum... se deixer o ssh habiltiado na porta default o que vc vai ver é este tipo de cosisa..todos os dias...



  5. #5
    fpmazzi
    Citação Postado originalmente por PiTsA
    Citação Postado originalmente por fpmazzi
    valew brow, tem como sabe donde vem esse ip?

    fora a porta, tem alguma outra dica?

    Grato.... 6)
    roda ae:

    [root@mx10 ~]# whois 148.208.213.1

    existem muitos bots que ficam fazeno varredura na internet a procura de servidores ssh e tentam acessá-los com brute force.....utilizando usuarios e senhas mais comum... se deixer o ssh habiltiado na porta default o que vc vai ver é este tipo de cosisa..todos os dias...
    @migo ja alterei a porta, digitei o comando que voce me disse e olha o que apareceu:

    ]# whois 148.208.213.1
    [Consulta whois.arin.net]
    [Redirecionado para whois.lacnic.net]
    [Consulta whois.lacnic.net]
    [whois.lacnic.net]

    % Joint Whois - whois.lacnic.net
    % This server accepts single ASN, IPv4 or IPv6 queries


    % Copyright LACNIC lacnic.net
    % The data below is provided for information purposes
    % and to assist persons in obtaining information about or
    % related to AS and IP numbers registrations
    % By submitting a whois query, you agree to use this data
    % only for lawful purposes.
    % 2005-09-30 11:51:51 (BRT -03:00)

    inetnum: 148.208/16
    status: reallocated
    owner: Secretaria de Educacion e Investigacion Tecnologic
    ownerid: MX-SEIT1-LACNIC
    address: Argentina No. 68 Col. Centro
    address: Cd. de Mexico, Distrito Federal
    country: MX
    owner-c: EC1018-ARIN
    inetrev: 148.208/16
    nserver: NS.RTN.NET.MX
    nsstat: 20050929 AA
    nslastaa: 20050929
    nserver: NS2.RTN.NET.MX [lame - not published]
    nsstat: 20050929 UDN
    nslastaa: 20050614
    created: 19990903
    changed: 20000411
    inetnum-up: 148.208/12
    source: ARIN-LACNIC-TRANSITION

    nic-hdl: EC1018-ARIN
    person: Esoj Carrasco
    e-mail: eccmy@ZEUS.RTN.NET.MX
    address: Secretaria de Educacion e Investigacion Tecnologic
    country: US
    phone: +52 5 624 28 00
    source: ARIN-LACNIC-TRANSITION

    % whois.lacnic.net accepts only direct match queries.
    % Types of queries are: POCs, ownerid, CIDR blocks, IP
    % and AS numbers.

    Pode ser tentativa de invasao mesmo ...

  6. cara, muda a porta do ssh para uma outra e/ou bloqueia o acesso para redes de paises estranhos ( tipo a argentina...huahuahuaha), e de preferencia instale um snort+guardian da vida, também tem o ossec hids, do lendário sinistrow, o Daniel Cid daqui do underlinux, pra vc ter uma melhor protecao contra este tipo de ataque..... de qualquer forma, olhar os logas de tempos em tempos também ajuda bastante...



  7. #7
    vfsmount
    Ola amigo

    alem de mudar a porta e claro tem outra coisa que vc tambem pode fazer pra evitar maiores problemas
    coloca
    permitrootlogin = no

    no arquivo de configuracao, isso vai impedir de existir o login do root no ssh, se vc precisar loga como um user normal depois dê um su root.

    Nao vai impedir esses ataques, mas vai evitar que alguem descubra a sua senha root e logue com ela.

    ja vi pessoas que usam programas pra gerar enormes listas de senha com varios tipos de combinacao, ja pensou se uma combinacao dessas bate! pelo menos dai o cara nao entra como root. :P
    Valew gente

  8. #8
    fpmazzi
    ola pessoal estou muito grato pela ajuda de voces e algumas providencias ja andei tomando. Estou agora com duvida em relacao a estes softwares de proteção, esta maquina que estou usando é um servidor de internet da empresa, hospeda o nosso DNS e Apache, nao iria ficar pesado, pois é um P100 com 32 de RAM.


    grato

    fpmazzi....



  9. #9
    Esse tipo de ataque é feito por um exploit muito comum e muito utilizado, que, a partir de uma enorme lista com combinações de senhas, tenta acesso ao seu servidor com conta de "root". Observer bem, a maioria das tentativas são como usuário root ou outros bem comuns, como admin, super, etc...Até pq não tem como os caras ficarem testando nomes de usuários comuns, tipo joao, maria, andré....

    A melhor dica (se você precisa deixar o SSH aberto para redes externas) é você desabilitar logins de root, e também você mudar a porta padrão do SSH.

  10. #10
    ZENZAPPA
    Caso vc precise que haj login externo então é bom utilizar criptografia forte, criando certificados e chaves publicas e privadas tb para passar aos users ao se plugarem. Caso contrário os exploits vão "caçando" as pwds q são usadas para logar. Casovoce use uma intranet o ideal e fazer um firewall e antispam para bloquear qqr acesso que não venha da combinaç~/ao da criptografia user+pwd.
    Dá um certo trabalho, mas deixa remota a possibilidade de invasão da intranet e mesmo o uso "coimpartilhado" de sua conexão.
    Baixe o OPENSSL ou instale caso tenha na sua distro e crie os certificados e keys para cada usuário q irá utilizar a rede q se conecte de fora.
    Lá tera o passo a passo para criar td isso.



  11. #11
    fpmazzi
    Citação Postado originalmente por Anonymous
    Esse tipo de ataque é feito por um exploit muito comum e muito utilizado, que, a partir de uma enorme lista com combinações de senhas, tenta acesso ao seu servidor com conta de "root". Observer bem, a maioria das tentativas são como usuário root ou outros bem comuns, como admin, super, etc...Até pq não tem como os caras ficarem testando nomes de usuários comuns, tipo joao, maria, andré....

    A melhor dica (se você precisa deixar o SSH aberto para redes externas) é você desabilitar logins de root, e também você mudar a porta padrão do SSH.
    Ok, ja mudei a porta, mas to com um serio problema, eu usei um usuario comum e dps la dentro usei o comando su root, ate ai tudo bem, mas quando tento dar um comando do tipo service nomeservico stop por exemplo ele nao me permite executar, oq posso fazer?

  12. #12
    rato16br
    Companheiro,

    Ao inves de su root, utilize:
    su -


    O seu problema sera resolvido.


    Espero ter ajudado.



  13. #13
    fpmazzi
    Citação Postado originalmente por rato16br
    Companheiro,

    Ao inves de su root, utilize:
    su -


    O seu problema sera resolvido.


    Espero ter ajudado.
    opa ajudo sim ....

    sabe me dizer qual a diferença entre usar o su e o su - ?






Tópicos Similares

  1. Alguem pode me ajudar, o que é isto?
    Por wtabr no fórum Redes
    Respostas: 4
    Último Post: 16-06-2009, 21:29
  2. Respostas: 8
    Último Post: 02-01-2009, 10:58
  3. Respostas: 3
    Último Post: 28-12-2008, 15:36
  4. o que isto faz ? 2>&1
    Por whinston no fórum Servidores de Rede
    Respostas: 6
    Último Post: 04-06-2005, 10:36
  5. O que é isto: MD5: 09b2ea...
    Por Configurator no fórum Servidores de Rede
    Respostas: 1
    Último Post: 11-09-2004, 12:56

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L