+ Responder ao Tópico



  1. #1

    Padrão Como intimidar invasão?

    Dando uma olhada nos "LOGs" do meu sistema (cliente/empresa), percebi que de uns dias para cá estão ocorrendo tentativas MACIÇAS de invasão. Teria algo que eu pudesse fazer para reduzir, intimidar ou até mesmo gerar um contra-ataque (para afugenta) para essas tentativas, pois isso está me deixando muito APAVORADO.

    Muito obrigado e aguardo qualquer orientação.

  2. #2

    Padrão Re: Como intimidar invasão?

    mas que tipos de ateques sao esses?
    vindos de apenas um host? varios?
    detalhe melhor isso ae um pouco...

    coloca uma regra no firewall dropando o trafego desse(s) host(s) na sua rede, TALVEZ dependendo de como o ataque esta sendo originado isso resolve.



  3. #3

    Padrão Re: Como intimidar invasão?

    Citação Postado originalmente por Patrick
    mas que tipos de ateques sao esses?
    vindos de apenas um host? varios?
    detalhe melhor isso ae um pouco...

    coloca uma regra no firewall dropando o trafego desse(s) host(s) na sua rede, TALVEZ dependendo de como o ataque esta sendo originado isso resolve.
    Ele fica tentando via SSH consecutivamente, daí fica trocando de porta. São diversos hosts.

    Obrigado.

  4. #4

    Padrão Re: Como intimidar invasão?

    Colega, não vale a pena tentar intimidar esses ataques, pois eles sao feitos por bots que estão em busca de novas maquinas para comprometer e juntar ao exercito...
    como vc deve imaginar, um pequeno script em perl (bot) não terá medo do que vc fizer aí, uma vez que ele nem sabe ler...
    o que voce pode fazer é instalar um software que se chama "sshdfilter" ele tratará do assunto sem problemas
    Um abraço[]



  5. #5

    Padrão Re: Como intimidar invasão?

    Citação Postado originalmente por The-shadow
    Colega, não vale a pena tentar intimidar esses ataques, pois eles sao feitos por bots que estão em busca de novas maquinas para comprometer e juntar ao exercito...
    como vc deve imaginar, um pequeno script em perl (bot) não terá medo do que vc fizer aí, uma vez que ele nem sabe ler...
    o que voce pode fazer é instalar um software que se chama "sshdfilter" ele tratará do assunto sem problemas
    Um abraço[]
    OK!

    E obrigado pela dica do "sshdfilter".


  6. #6
    spectrom
    Visitante

    Padrão Re: Como intimidar invasão?

    Ola galera, no meu servidor atual eu trabalho com APF, ele fica monitorando os logs tanto de ssh qnto de ftp, email ao detectar x tentativas erronias ele bloqueia o ip de origem, o tempo de verificaçao voce define do cronta, no geral se coloca 2 minutos.



  7. #7
    mhp
    Visitante

    Padrão Re: Como intimidar invasão?

    Como o pessoal já disse, não adianta tentar intimidar :-(
    Eu simplesmente mudei a porta padrão p/ uma porta alta (acima de 49152). Acabou-se o problema, pelo menos por enquanto.
    Outra opção é fechar o acesso SSH normal e usar o JTA <http://javassh.org>, com a vantagem que não vai mais precisar do cliente SSH, apenas um navegador com Java.

  8. #8

    Padrão Re: Como intimidar invasão?

    mais simples ainda eh fazer uma regra assim:

    iptables -N SSH
    iptables -I INPUT -p tcp --dport 22 -j SSH
    iptables -A SSH -s seu.ip -j ACCEPT
    iptables -A SSH -s mais.algum.ip -j ACCEPT
    iptables -A SSH -j DROP

    fazendo isso.. permitirá somente os ips que vc cadastrar na chain SSH !!!



  9. #9
    spectrom
    Visitante

    Padrão Re: Como intimidar invasão?

    Citação Postado originalmente por Alexandre Correa
    mais simples ainda eh fazer uma regra assim:

    iptables -N SSH
    iptables -I INPUT -p tcp --dport 22 -j SSH
    iptables -A SSH -s seu.ip -j ACCEPT
    iptables -A SSH -s mais.algum.ip -j ACCEPT
    iptables -A SSH -j DROP

    fazendo isso.. permitirá somente os ips que vc cadastrar na chain SSH !!!
    Isto e bom somente par aquem tem ip fixo, a maioria de quem faz acesso possui ip dinamico, muda a cada conexao, se isso ocorre babaus conexao

  10. #10
    mhp
    Visitante

    Padrão Re: Como intimidar invasão?

    Concordo com spectrom. Eu. por exemplo, preciso acessar os servidores de qualquer lugar, via ADSL, dial-up, wireless, etc., e muitos deles, como o meu próprio. usa IP dinâmico.



  11. #11

    Padrão Re: Como intimidar invasão?

    Sinceramente algumas coisas:


    Port 12921
    LoginGraceTime 10s == 10 segundos para digita a senha
    PermitRootLogin no === O rooot nem a pau
    MaxAuthTries 1 == 1 tentativa por conexao

    Alem disso

    iptables -t filter -A INPUT -p tcp --dort 12921 -j LOG --log-level 7 --log-prefix "ACESSO AO sshd"

    iSSO JA RESOLVE 99,9% dos seus problemas

  12. #12

    Padrão Re: Como intimidar invasão?

    Citação Postado originalmente por wps
    Sinceramente algumas coisas:


    Port 12921
    LoginGraceTime 10s == 10 segundos para digita a senha
    PermitRootLogin no === O rooot nem a pau
    MaxAuthTries 1 == 1 tentativa por conexao

    Alem disso

    iptables -t filter -A INPUT -p tcp --dort 12921 -j LOG --log-level 7 --log-prefix "ACESSO AO sshd"

    iSSO JA RESOLVE 99,9% dos seus problemas
    Beleza! mas me fale pra que serve o "--log-level 7" e resto eu sei pra que serve.

    Obrigado e aguardo retorno.



  13. #13

    Padrão Re: Como intimidar invasão?

    grava os logs do iptables em nivel debug ou extremamente verboso para vc poder fazer uma analise total do pacote lembre que ele ficaram em /var/log/debug

  14. #14
    capgaiotto
    Visitante

    Padrão Re: Como intimidar invasão?

    Fala Aprendiz!

    Que distribuição você está utilizando?
    Tive esse tipo de problema com o Conectiva 10 e não consegui chegar a uma conclusão se é problema de vulnerabilidade da prórpia distro ou do ssh que acompanha a distribuição...
    Lembrando que você pode aumenter o nível de segurança configurando corretamente o SSH server...


    Gaiotto



  15. #15

    Padrão Re: Como intimidar invasão?

    Citação Postado originalmente por capgaiotto
    Fala Aprendiz!

    Que distribuição você está utilizando?
    Tive esse tipo de problema com o Conectiva 10 e não consegui chegar a uma conclusão se é problema de vulnerabilidade da prórpia distro ou do ssh que acompanha a distribuição...
    Lembrando que você pode aumenter o nível de segurança configurando corretamente o SSH server...


    Gaiotto
    Fala capgaiotto,

    atualmente estou utilizando (preferencialmente) Debian 3.1 e tenho alguma coisa de Conectiva Linux 10/9/8 instalado por aí...

    Obrigado pela atenção.


  16. #16
    sadirj
    Visitante

    Padrão Re: Como intimidar invasão?

    Pessoal, realmente os ataques contra o serviço SSH são um problema constante e que, na maioria dos casos, chega a tirar o sono de alguns sysadmin.
    Meu caso:
    Tenho alguns clientes e também administro um provedor de internet. Através de uma máquina em casa ligada 24H, a qual permite acesso SSH de qualquer lugar, bem protegida e logando todo e qualquer tipo de conexão, fechei os servidores de meus clientes de forma a somente aceitarem conexão SSH oriundas dessa minha máquina de casa. Cada servidor/firewall de cliente tem uma conta de acesso (login) diferente; a senha nunca é a mesma, as portas do SSH não são as mesmas (de jeito nenhum a 22), de forma que, mesmo que meu firewall de casa seja invadido, ele não compromete a segurança dos outros firewalls. Não tenho nenhum "arquivinho" com informações dos outros servers no meu firewall. Monitoro os logs diariamente; amo o SNORT e idolatro o PORTSENTRY...
    Acredito que dessa forma posso TENTAR dormir mais tranquilo as 3:30 da manhã...
    Todas as dicas aqui são excelentes. Tente juntá-las pra tornar o seu sistema o mais seguro possível, e lembre-se que nenhum sistema é 100% infalível... :roll:
    Atenciosamente,

    Sadi.



  17. #17

    Padrão Re: Como intimidar invasão?

    Citação Postado originalmente por sadirj
    Pessoal, realmente os ataques contra o serviço SSH são um problema constante e que, na maioria dos casos, chega a tirar o sono de alguns sysadmin.
    Meu caso:
    Tenho alguns clientes e também administro um provedor de internet. Através de uma máquina em casa ligada 24H, a qual permite acesso SSH de qualquer lugar, bem protegida e logando todo e qualquer tipo de conexão, fechei os servidores de meus clientes de forma a somente aceitarem conexão SSH oriundas dessa minha máquina de casa. Cada servidor/firewall de cliente tem uma conta de acesso (login) diferente; a senha nunca é a mesma, as portas do SSH não são as mesmas (de jeito nenhum a 22), de forma que, mesmo que meu firewall de casa seja invadido, ele não compromete a segurança dos outros firewalls. Não tenho nenhum "arquivinho" com informações dos outros servers no meu firewall. Monitoro os logs diariamente; amo o SNORT e idolatro o PORTSENTRY...
    Acredito que dessa forma posso TENTAR dormir mais tranquilo as 3:30 da manhã...
    Todas as dicas aqui são excelentes. Tente juntá-las pra tornar o seu sistema o mais seguro possível, e lembre-se que nenhum sistema é 100% infalível... :roll:
    Atenciosamente,

    Sadi.
    Sadi,

    valeu pela sua orientação. Vou ver o que posso fazer mediante o q você me passou.

    Obrigado e aquele abraço.