+ Responder ao Tópico



  1. #1

    Padrão SSh Invadido

    Ola passoal....
    Bom, tenho um firewall usando slackware 10 e iptables...
    Eu bloquei tudo e autorizei apenas portas comuns...email..internet e acesso ao ssh para manutencao.

    A minha surpresa é que esse firewall foi invadido pelo ssh...alguem pode dar sugestao de como??...nao dei acesso a root, mas tem uns dois meses que nao atualizo o firewall, sera que ele conseguiu atravez de alguma vulnerabilidade ou senha fraca....alguem tem noticia que meio esta sendo mais usado pra invadir o ssh, ele nao deletou os log,s e percebi que ele teve acesso pelo ssh, depois do acesso ele colocou shutdown -h 0 no arquivo rc.M , bom logicamento toda vez que o firewal era ligado ele desligava antes mesmo de pedir a senha, eu tirei essa linha e voltou a funcionar normalmente,
    bom, o ideial seria intalar tudo de novo, mas vou dar um tempo pra eu poder estudar que maneira ele usou pra ter acesso.....se alguem puder me ajudar a fazer auditoria seria bom pra nivel de conhecimento de todos aqui.

  2. #2

    Padrão Re: SSh Invadido

    Da uma olhada nos logs, se houve muitas tentivas de acesso...

    Talvez ele usou um brute force e descobriu a senha...


    Mais aplicar os patchs eh sempre bom..



  3. #3
    derson
    Visitante

    Padrão Re: SSh Invadido

    olha no meu aki estava tendo muitas tentativas de invasão pelos ssh coloquei um progama Deny Hosts q ele le o syslog a procura de tentativas se o ip tentou 3 vezes e naum teve sucesso ele bloqueia o ip no hosts.deny aki ele funiciona muito bem qualquer duvida estamos ai.Olha se ele teve acesso a sua maquina e for um hacker esperto conserteza apagou todos os rastros ai fica dificil de descobrir.Mas da uma olhada nos logs do kernel.
    Flw

  4. #4

    Padrão Re: SSh Invadido

    Sim...teve varias tentativas, inclusive no dia que foi invadido teve varias tentivas de um mesmo ip...um ip dos USA, acho que ele usou forca bruta, a senha era "1q2w3e4r" é uma senha fraca



  5. #5

    Padrão Re: SSh Invadido

    Os logs estao todos no firewalll...amanha estarei no meu cliente e postarei os log's pra gente poder estudar o caso, vc poderia detalhar mais como eu bloqueio o ip depois de 3 tentativas

  6. #6

    Padrão Re: SSh Invadido

    Foi uma falha eu nao ter tb atualizado os pacotes.....mas como posso usar o slacpkg pra atualizar automatico...assim fica mais facil ...o slackpkg sempre tem a pergunta de Y/n; como faco pra atualizar e logo em seguida instalar os paths atualizados????



  7. #7

    Padrão Re: SSh Invadido

    Acho muito dificil ele ter usado uma ferramenta específica...

    Se o cara fosse realmete um problema, ele teria detonado sua máquina.

    Tah me parecendo engenharia social... Alguem sabe de sua senha e entrou!!!

    mtec :-o

  8. #8
    jotacekm
    Visitante

    Padrão Re: SSh Invadido

    vc devia também passar o nessus, ele scaneia as portas, gera report em html e fala das vulnerabilidades dos teus serviços, o que ta desatualizado etc. muito bom. Se vc tiver com preguiça de instalar me passa seu ip q eu escaneio pra vc



  9. #9

    Padrão Re: SSh Invadido

    Opa

    Aconselho ao invés de usar SSH, usar o SSH2 que é muito mais seguro.

    Altera a porta padrão de acesso para uma outra, configura para apenas um usuário default permitir o acesso e principalmente libera acesso para determinado(s) IP(s).

    Se quiser aumentar ainda mais a segurança, no seu firewall abre a porta que você definiu no SSH2, somente para o IP destino que configurou no ssh2.

    t+

  10. #10
    Aquini
    Visitante

    Padrão Re: SSh Invadido

    Esse bruteforce está assolando a rede ha tempos...
    https://under-linux.org/component/op.../topic,19906.0

    mas nada que uma boa configuração afinada no sshd não resolva!

    ;-)