Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico




  1. Pessoal do Underlinux, preciso de ajuda.
    Tenho observado que o dia inteiro, e agora entrando no servidor da empresa, vejo pelo /var/log/message que tem n pessoas tentando acessar o nosso servidor. Dá sempre a mensagem de failed password user xxx port xxxx ssh2. Mas quando chego no trabalho, o servidor está sempre resetado. Ou seja, o servidor está sempre começando do zero.
    Como faço para barrar isso ??? Vejo o /var/log/message e tem sempre alguém ou alguéns tentando entrar no nosso servidor. Já vi no lastlog e não tem ninguém. O que sugerem para monitar ??? Uso o Slackware 10.2. E não sei como resolver ......... Qualquer ajuda .......... Tenho firewall rodando, Squid ..............mas sinceramente estou perdidão mesmo .........
    É sempre porta alta a tentativa no ssh .......... Mas a impressão que dá é que estão tentando, tentando, mas dá sempre failed .........mas o mais estranho é que o nosso servidor quando chego de manhã no trabalho está sempre resetado.
    Qualquer dica galera ......... agradeço .......... :-o

  2. E outra coisa ...... porque depois de n tentativas de usuários de fora, estou vendo agora na empresa, nesse momento é 01:25 da madrugada, aparece uma mensagem MARK, repetidas vezes ?
    Estou nesse momento conectado via Putty no servidor e vendo isso.
    O que faço pessoal do Underlinux ?
    Estou perdidão mesmo ..............
    Peço ajuda ........... :????



  3. #3
    alex_sorocaba
    camarada, por que não reve o seu firewall e coloque drop nesse ssh seu?
    resetado é o que desligado? ou os serviços(daemons) foram reiniciados?
    checa seu file system pra ver se não tem arquivos estranhos, veja conexões ativas nele.
    Contra ataques mais avançado não indicaria mas como parece não está sendo bem feito esse ataque puxe o chkrootkit e teste o sistema pra ver se não tem alguma backdoor

  4. use isso aqui:
    http://ossec.net/

    se tiver algo de errado ele vai falar, e de quebra vc pode ativar a resposta ativa, bloqueando automaticamente esses brute force pelos hosts.deny ou pelo proprio iptables



  5. #5
    silviojunior
    como estão seus arquivos /etc/hosts.allow e /etc/hosts.deny?

    vc pode diminuir negando tudo no hosts.deny:
    ALL : ALL

    e liberando o que realmente vai usar com um range menor no hosts.allow

    ssh : 200. 201.

    libera apenas o acesso ssh para os ips iniciados com 200.xxx.xxx.xxx e 201.xxx.xxx.xxx o restante ele nega.

    senão vc vai ficar recebendo ataques de fora!!!

    t+






Tópicos Similares

  1. INVASÃO DE SERVIDOR DE INTERNET
    Por adelsonbbg no fórum Servidores de Rede
    Respostas: 12
    Último Post: 04-05-2006, 12:30
  2. Problemas com redirecionamento de servidores.
    Por pirat no fórum Servidores de Rede
    Respostas: 1
    Último Post: 22-10-2003, 07:29
  3. Raid de Servidores
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 12-09-2003, 15:21
  4. lista de servidores para este grupo de trabalho
    Por Itise no fórum Servidores de Rede
    Respostas: 4
    Último Post: 08-03-2003, 10:55
  5. IPTABLES- Redirecionamento de Servidor
    Por soyeu no fórum Servidores de Rede
    Respostas: 1
    Último Post: 04-12-2002, 10:33

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L