Invasao pelo ssh

**Bravo** · 16-11-2006, 08:57

Pesssoal...a um tempo atraz meu firewall foi invadido, fiz uma auditoria e percebi que so poderia ser pelo ssh...forca bruta. Bom, nao tinha permissao pra senha root ,mas a senha usuario estava fraca e uso a porta 22. Entao coloquei uma senha forte, nao dou permissao pra root, mas nao consigo alterar a porta, estou tentando usar a porta 4444 mas nao loga. Como faco pra alterar o ssh pra usar a porta 4444 ou alguem pode sugerir outra porta, alias eu ate ja liberei no iptables pra poder conectar pela porta 4444, mas mesmo assim nao conecta..qual procedimento correto pra alterar.

um abraco a todos !

**1c3m4n** · 16-11-2006, 10:50

Edita o sshd_config e altera
Port 22 pra Port 4444 e reinicia o ssh....

dps pra conectar usuario@host -p 4444

**samuelstj** · 16-11-2006, 13:23

Fiz o mesmo, coloquei na porta 50321 e deu tudo certo. Modifiquei o sshd.conf e restartei o sshd. Seu problema pode ser no firewall. Já tentou acessar ele via ssh com o firewall desabilitado?

**tuxson** · 17-11-2006, 09:05

Kra outra coisa que eu fiz foi bloquear o login de root:
Descomente esta linha
#PermitRootLogin yes
e deixe ela assim:
PermitRootLogin no
Desta maneira caso haja uma invasao o invasor nao tera acesso total....
E tb vc vai ser obigado a logar com um usuario limitado pra depois adquirir poderes de root.

**morronix** · 17-11-2006, 14:52

eu tb naun uso ssh na porta 22,soh na 2201..e outra coisa...usa um usuário que naun seja um nome conhecido...há cerca de 1 mes,qdo meu server ainda estava na porta 22,tentaram um ataque de força rbruta,peguei eles qdo estavam tentando conxão com vários nomes..ainda bem q naun chagaram no meu user,denominado joselito...depois dessa,ateh pro nome de usuário eu misturo letras com numeros...tipo.... luc4s ... flw!!

**samuelstj** · 17-11-2006, 15:00

se quiser uma ferramenta ótima que te reporta TUDO sobre a máquina, inclusive quando o fdp estiver tentando entrar na sua máquina.

Chama-se ossec. Rápido e fácil de instalar.
O cara dá um ssh e vc recebe e-mail na hora te informando.

Quando vc cria um usiário ou modifica qualquer arquivo de segurança na máquina... vc ecebe um e-mail. hehehe

**samuelstj** · 17-11-2006, 15:08

OSSEC HIDS - Open Source Security

Eu queria agora eh uma ferramenta que me reporte os dadosda máquina como memória, disco, ultimos logins... se alguem souber me fale.

**morronix** · 17-11-2006, 15:14

vo testar esse ossec...deve ser a pampa...detalhe,o servidor que estava tentando invadir o meu, é da faculdade de astronomia do mackienzie...de são paulo...é mole? ateh hj o bosta do webmaster naun respondeu meu email..

**morronix** · 17-11-2006, 15:15

Postado originalmente por samuelstj

OSSEC HIDS - Open Source Security

Eu queria agora eh uma ferramenta que me reporte os dadosda máquina como memória, disco, ultimos logins... se alguem souber me fale.

nuan sei se te ajuda...mas vc jah viu o ebox?

Running A File-, Print-, Proxy-, DHCP-, AND Time-Server For Small/Medium Enterprises | HowtoForge - Linux Howtos and Tutorials

**samuelstj** · 17-11-2006, 15:18

foda, sou admin do depto de ciencia da computacao da UnB. Aqui eu tive um probleminha desse tipo tb. Mas foi pior, gente daqui de dentro tentando me invadir.

Vou pesquisar sobre o ebox
Obrigado

**ruyneto** · 17-11-2006, 18:01

Só para responder o cara que queria dados sobre memoria, disco, ultimos logins e tals pode tentar usar o cacti que usando o protocolo snmp ou outro protocolo lá que não lembro ele consegue coletar esse tipo de informações e mtos outros de diversas maquinas e colocar em um único site centralizado.

falows

**junote** · 17-11-2006, 18:15

Olá samuel!

Bem interessante essa ferramenta, estou baixando para rodá-la. Deve ser um sentinela e tanto...

Grato por sua dica!

salcam · 19-11-2006, 21:56

aonde eu acho esse programa para monitorar obrigado

**samuelstj** · 19-11-2006, 23:35

deixei o link dele a algumas msgs atras.
Mas repito.

OSSEC HIDS - Open Source Security

Outra coisa... hhehe acabei de receber um alerta dele uma maquina minha.

Não sei ainda o que aconteceu, mas recebi uma msg dizendo que meu passwd we shadown foi modificado. hj as 21:39 e eu parei de mecher na maquina as 19:00. Não sei o que foi pq a conexão pra lá está ruim mas desliguei a máquina e amanhã eu vejo heheheh

**morronix** · 20-11-2006, 00:06

serah que era algum aluno fazendo o tcc? heheheheh

**zzzhhh** · 21-11-2006, 23:52

Amigo...
so tome cuidado mudar a porta do ssh ou qualquer outro programa geralmente aumenta consideravelmente a segurança...mas isso se chama segurança por obscuridade vc nao vai ficar imune a um outro ataque...este invasor pode identificar a nova porta que vc configurou....mas vai inibir tentativas de invasao "padrao" na porta 22

Invasao pelo ssh

Ferramentas de Tópicos

Invasao pelo ssh

ossec

obscuridade