Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Ola passoal....
    Bom, tenho um firewall usando slackware 10 e iptables...
    Eu bloquei tudo e autorizei apenas portas comuns...email..internet e acesso ao ssh para manutencao.

    A minha surpresa é que esse firewall foi invadido pelo ssh...alguem pode dar sugestao de como??...nao dei acesso a root, mas tem uns dois meses que nao atualizo o firewall, sera que ele conseguiu atravez de alguma vulnerabilidade ou senha fraca....alguem tem noticia que meio esta sendo mais usado pra invadir o ssh, ele nao deletou os log,s e percebi que ele teve acesso pelo ssh, depois do acesso ele colocou shutdown -h 0 no arquivo rc.M , bom logicamento toda vez que o firewal era ligado ele desligava antes mesmo de pedir a senha, eu tirei essa linha e voltou a funcionar normalmente,
    bom, o ideial seria intalar tudo de novo, mas vou dar um tempo pra eu poder estudar que maneira ele usou pra ter acesso.....se alguem puder me ajudar a fazer auditoria seria bom pra nivel de conhecimento de todos aqui.

  2. Da uma olhada nos logs, se houve muitas tentivas de acesso...

    Talvez ele usou um brute force e descobriu a senha...


    Mais aplicar os patchs eh sempre bom..



  3. #3
    derson
    olha no meu aki estava tendo muitas tentativas de invasão pelos ssh coloquei um progama Deny Hosts q ele le o syslog a procura de tentativas se o ip tentou 3 vezes e naum teve sucesso ele bloqueia o ip no hosts.deny aki ele funiciona muito bem qualquer duvida estamos ai.Olha se ele teve acesso a sua maquina e for um hacker esperto conserteza apagou todos os rastros ai fica dificil de descobrir.Mas da uma olhada nos logs do kernel.
    Flw

  4. Sim...teve varias tentativas, inclusive no dia que foi invadido teve varias tentivas de um mesmo ip...um ip dos USA, acho que ele usou forca bruta, a senha era "1q2w3e4r" é uma senha fraca



  5. Os logs estao todos no firewalll...amanha estarei no meu cliente e postarei os log's pra gente poder estudar o caso, vc poderia detalhar mais como eu bloqueio o ip depois de 3 tentativas






Tópicos Similares

  1. ssh X Windows
    Por no fórum Servidores de Rede
    Respostas: 2
    Último Post: 26-11-2002, 16:10
  2. Site LinuxBrasil Invadido
    Por juliobug no fórum Segurança
    Respostas: 1
    Último Post: 10-11-2002, 13:43
  3. ssh sem senha
    Por mcsbws no fórum Servidores de Rede
    Respostas: 4
    Último Post: 04-11-2002, 22:40
  4. Liberar acesso externo via SSH
    Por Elvis no fórum Servidores de Rede
    Respostas: 1
    Último Post: 03-11-2002, 09:32
  5. Problema com o ssh pelo windows !!!
    Por embbr no fórum Servidores de Rede
    Respostas: 1
    Último Post: 01-07-2002, 18:10

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L