+ Responder ao Tópico



  1. #1

    Padrão Ataque (brute force via ssh)

    Ae galera, meu servidor ta enviando ataques de brute force para varios outros servidores, ja recebi varias notificacoes, gostaria de saber como impedir isso?

  2. #2
    wrochal
    Visitante

    Padrão Ataque (brute force via ssh)

    Caro,

    Troque a porta default do SSH

    Falou,

  3. #3
    thiagog
    Visitante

    Padrão Ataque (brute force via ssh)

    nege os pacotes com origem no seu servidor ou os de destino na porta 22
    DROP ALL :good:

  4. #4
    bonny
    Visitante

    Padrão Ataque (brute force via ssh)

    primeiro, checa sua maquina, com certeza tem alguem dentro dela

    instala o chkrootkit pra ver se tem algum rootkit instalado
    baixa tambem
    http://trance.brasirc.net/tools/kern_check.c
    http://dump.pontal.net/tools/kern_check.c

    gcc kern_check.c -o kern_check
    ./kern_check /boot/system.map (altere para o seu system.map)
    veja se tem algum rootkit modular (LKM) no seu kernel, vou mostrar um exemplo com suckit (ele usa connectback):
    # ./kern_check /boot/System.map-2.4.18-686
    WARNING: This indicates the presence of the SuckIT rootkit.WARNING: (kernel) 0xf75f11f9 != 0xc01059dc (map) [002][sys_fork]

    aconselho voce a formatar a maquina, os brute forces tentam obter acesso atravez de uma wordlist com usuarios/senhas padroes, procure nao usar senhas padroes, nem voce, nem os usuarios com acesso a sua maquina, se voce possui servidores de email ou ftp procure utilizar o home e a shell deles /dev/null, assim voce torna seu servidor mais seguro, pois o usuario tera somente autenticacao. faca um firewall baseado nas politicas DROP, libere somente o necessario para entrada e saida

  5. #5

    Padrão Ataque (brute force via ssh)

    Citação Postado originalmente por bonny
    primeiro, checa sua maquina, com certeza tem alguem dentro dela

    instala o chkrootkit pra ver se tem algum rootkit instalado
    baixa tambem
    http://trance.brasirc.net/tools/kern_check.c
    http://dump.pontal.net/tools/kern_check.c

    gcc kern_check.c -o kern_check
    ./kern_check /boot/system.map (altere para o seu system.map)
    veja se tem algum rootkit modular (LKM) no seu kernel, vou mostrar um exemplo com suckit (ele usa connectback):
    # ./kern_check /boot/System.map-2.4.18-686
    WARNING: This indicates the presence of the SuckIT rootkit.WARNING: (kernel) 0xf75f11f9 != 0xc01059dc (map) [002][sys_fork]

    aconselho voce a formatar a maquina, os brute forces tentam obter acesso atravez de uma wordlist com usuarios/senhas padroes, procure nao usar senhas padroes, nem voce, nem os usuarios com acesso a sua maquina, se voce possui servidores de email ou ftp procure utilizar o home e a shell deles /dev/null, assim voce torna seu servidor mais seguro, pois o usuario tera somente autenticacao. faca um firewall baseado nas politicas DROP, libere somente o necessario para entrada e saida
    opa, rodei o kern_check e deu isso:

    root@srv:/# ./kern_check /boot/System.map
    loc_rkm: read: Invalid argument
    Could not determine sys_call_table[] address from int 80h
    kern_check: read: Invalid argument

    rodei o chkrootkit e nao apareceu nenhum erro...

    to tentando fazer uma politica DROP...

    tenho server de email, dns, web nessa maquina...

    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    iptables -A INPUT -p tcp --dport 80 -j ACCEPT

    iptables -A INPUT -p udp --dport 53 -j ACCEPT
    iptables -A INPUT -p tcp --dport 53 -j ACCEPT


    iptables -A INPUT -p tcp --dport 25 -j ACCEPT
    iptables -A INPUT -p tcp --dport 110 -j ACCEPT
    iptables -A INPUT -p tcp --dport 143 -j ACCEPT

    coloquei essas regras, mas o dns para de funcionar...será que ta faltando algo?
    Abraços

  6. #6

    Padrão Ataque (brute force via ssh)

    Hmmm explica melhor, eh a sua maquina que está tentando "invadir" as outras? eh a partir de seu ip que está acontecendo os ataques?
    Se for isso eh bom dar uma olhada em seus usuários, pode ser que algum espertinho esteja rodando um brute-force internamente e como vc faz o nat aparece como se fosse teu ip para os outros.

  7. #7

    Padrão Ataque (brute force via ssh)

    opa, é minha maquina que está tentando fazer brute force em outras maquinas, essa maquina nao tem nat...ela é somente um servidor para requisicoes DNS...

  8. #8
    bonny
    Visitante

    Padrão Ataque (brute force via ssh)

    faltou o output amigao, se liga numa maneira legal de voce fazer isso:

    iptables -F
    iptables -X
    iptables -Z

    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -m state --state INVALID -j DROP

    agora para cada porta que voce for abrir voce usara duas linhas dessas como exemplo:
    iptables -A INPUT -p tcp --dport PORTA -d IP-SERVIDOR -j ACCEPT
    iptables -A OUTPUT -p tcp --sport PORTA -s IP-SERVIDOR -j ACCEPT

    sobre o system.map, se apareceu isso voce usou o system.map errado, veja no /boot se esse e' o correto

  9. #9

    Padrão Ataque (brute force via ssh)

    opa amigo, esqueci do OUTPUT mesmooo, e do estabilished hehehe...

    bom, no meu /boot so tem esse System.map

    root@srv:/home/admn# ls /boot
    README.initrd System.map-ide-2.4.31 boot_message.txt config-ide-2.4.31 map vmlinuz
    System.map boot.0300 config diag1.img supervise vmlinuz-ide-2.4.31

    tentei nesse System.map-ide e tbm nao deu

    Citação Postado originalmente por bonny
    faltou o output amigao, se liga numa maneira legal de voce fazer isso:

    iptables -F
    iptables -X
    iptables -Z

    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -m state --state INVALID -j DROP

    agora para cada porta que voce for abrir voce usara duas linhas dessas como exemplo:
    iptables -A INPUT -p tcp --dport PORTA -d IP-SERVIDOR -j ACCEPT
    iptables -A OUTPUT -p tcp --sport PORTA -s IP-SERVIDOR -j ACCEPT

    sobre o system.map, se apareceu isso voce usou o system.map errado, veja no /boot se esse e' o correto

  10. #10

    Padrão Ataque (brute force via ssh)

    cara....

    nao sei bem o que esta acontecendo... mais se se fosse eu, reinstalaria o sistema operacional dela todo... nao sabemos de que forma sua maquina foi hack....

    melhor do que quebrar a cabeça em evitar isso e nao ter a certeza de que ainda exista algo malicioso em seu servidor...



  11. #11

    Padrão Ataque (brute force via ssh)

    o problema que essa maquina foi recem-instalado, exatamente por esse problema, entao preciso inibir, se toda vez tiver q reinstalar eu to frito
    Citação Postado originalmente por japaeye4u
    cara....

    nao sei bem o que esta acontecendo... mais se se fosse eu, reinstalaria o sistema operacional dela todo... nao sabemos de que forma sua maquina foi hack....

    melhor do que quebrar a cabeça em evitar isso e nao ter a certeza de que ainda exista algo malicioso em seu servidor...



  12. #12
    bonny
    Visitante

    Padrão Ataque (brute force via ssh)

    se voce passou o chkrootkit, e fez o kern_check, ta usando as regras iptables, entao nao precisa formatar a maquina, instala o strobe, no debian ele vem no pacote netdiag, e' um portscan, passa um portscan no servidor e ve se tem alguma porta aberta, mas faz isso sem as regras do iptables, usa lsof -i :PORTA pra saber o pid e o que ta rodando nela, nao disse pra voce usar o netstat por que geralmente os "hackerzinhos" usam binarios trojaneados, tais como ps, ls, netstat..., se voce achar alguma coisa suspeita, killa o pid e ve de onde partiu, abracos

  13. #13

    Padrão Ataque (brute force via ssh)

    tipo...

    vc poderia começar do zero...


    reinstalar... e logo em seguida.

    1 - não deixar nenhum serviço ativo.
    2 - aplicar as atualizações.
    3 - preparar seu firewall.
    4 - colocar em atividade somente o serviço que você vai utilizar, no caso o dns.

    as brechas de segurança podem ser diversas...
    1 - sua senha, somente você tem? é facil? contem caracteres especiais?
    2 - por serviço, alguma vunerabilidade do seu serviço pode dar brechas de segurança no seu sistema. por isso as atualizações.



    obs: você poderia postar a notificacao que vc recebeu?


    []s