Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Venho relatar dois acontecimentos de invasão pelo ssh no debian 4.0 testing e no conectiva 10 up.

    Depois de alguns dias 26 dias ( fui verificar os linux ( gateway internet ) mas o engraçado ( pra não falar triste) , foi ver no historico de comando comandos dados e arquivos baixados. quando fui ver o log do sistema tinha tentativas de acesso no ssh a milhares e uma delas acessou. as senhas e usuarios dos dois sistema só tinha duas. senhas relativamente fortes com 10 digitos intercalados de letras e numeros.

    O metodo foi o mesmo nos dois sistemas. o bom que era apenas gateway mesmo, mais nada. por isso não tinha firewall e nada.

    Mas o que me intriga é o acesso pelo ssh com o usuario do sistema que tinha senha forte e depois o root que tinha uma senha de 12 digitos entre letras e numero.

    Foi a primeira vez que me acontece isso entre 8 anos de uso de linux e freebsd.

    Procurei algo sobre falhas no ssh mas não achei. vai então o aviso para tomar cuidado.

    Vou pegar os logs dos dois gatewayzinho e postar depois pra voces verem a tecnica de brutal force.

    ate mais.

  2. Citação Postado originalmente por ShadowRed Ver Post
    Venho relatar dois acontecimentos de invasão pelo ssh no debian 4.0 testing e no conectiva 10 up.

    Depois de alguns dias 26 dias ( fui verificar os linux ( gateway internet ) mas o engraçado ( pra não falar triste) , foi ver no historico de comando comandos dados e arquivos baixados. quando fui ver o log do sistema tinha tentativas de acesso no ssh a milhares e uma delas acessou. as senhas e usuarios dos dois sistema só tinha duas. senhas relativamente fortes com 10 digitos intercalados de letras e numeros.

    O metodo foi o mesmo nos dois sistemas. o bom que era apenas gateway mesmo, mais nada. por isso não tinha firewall e nada.

    Mas o que me intriga é o acesso pelo ssh com o usuario do sistema que tinha senha forte e depois o root que tinha uma senha de 12 digitos entre letras e numero.

    Foi a primeira vez que me acontece isso entre 8 anos de uso de linux e freebsd.

    Procurei algo sobre falhas no ssh mas não achei. vai então o aviso para tomar cuidado.

    Vou pegar os logs dos dois gatewayzinho e postar depois pra voces verem a tecnica de brutal force.

    ate mais.
    Eu tenho um server CL10 há uns 2 anos, com ssh habilitado.. É incrível nos logs a quantia de tentativas de acesso! Mas por enquanto ninguém conseguiu invadir... Vou dar uma olhada nessa questão, de repente até mudar o porta do ssh, sei lá... vou falar com o cara que me dá suporte, pq nesse server roda postfix, apache, dns e mysql... tem tudo do meu provedor hehehe.



  3. Este tipo de problema eh uma tentativa de invasao por forca bruta, existem dois metodos para evitar isto, um deles eh configurar o servidor do ssh para aceitar login de usuario indicado, e numero de tentativas de acesso. Outra e criar uma chain para a porta 22, inicialmente com ACCEPT,criar um daemon para verificar os logs de acesso, no caso do debian eh o /var/log/auth, no caso do conectiva, /var/log/messages, e a partir das mensagens de erro de acesso do ssh, banir os ips da chain do ssh. O problema da segunda solucao eh que se o administrador tentar acessar a maquina e ele errar o usuario de conexao o proprio administrador fica bloqueado ate que a maquina seja reinicializada. Mais informacoes em:
    SSH Blocking - blinkeye's wiki

  4. Citação Postado originalmente por amaia Ver Post
    Este tipo de problema eh uma tentativa de invasao por forca bruta, existem dois metodos para evitar isto, um deles eh configurar o servidor do ssh para aceitar login de usuario indicado, e numero de tentativas de acesso. Outra e criar uma chain para a porta 22, inicialmente com ACCEPT,criar um daemon para verificar os logs de acesso, no caso do debian eh o /var/log/auth, no caso do conectiva, /var/log/messages, e a partir das mensagens de erro de acesso do ssh, banir os ips da chain do ssh. O problema da segunda solucao eh que se o administrador tentar acessar a maquina e ele errar o usuario de conexao o proprio administrador fica bloqueado ate que a maquina seja reinicializada. Mais informacoes em:
    SSH Blocking - blinkeye's wiki
    Nunca usei esta tecnica, uso bloquei no firewall para somente acesso com o ip desejado. Mas nos gatewayzinhos não tinha nada tava puro. Só postei pra tomarem cuidado com servers mesmo.

    Mas a opção de bloquei do firewall para ssh ou telnet por ips apenas Desejados . É muito boa nunca tive problemas em 7 anos de uso.

    Mas vai o aviso, nunca deixe o server padrão e agora nem os gateway com ip dinamicos ou fixos esta ferramenta de brutal force passa mesmo, claro se ficar descuidado como os dois ficou 26 dias.


    Até mais.
    Última edição por ShadowRed; 29-04-2007 às 23:03.



  5. Caso precisem de um daemon pronto que varre os logs e geram as regras de bloqueio para tentativas de acesso ssh com período de validade das regras: Welcome to DenyHosts






Tópicos Similares

  1. Respostas: 8
    Último Post: 16-02-2008, 19:21
  2. Invasao pelo ssh
    Por Bravo no fórum Servidores de Rede
    Respostas: 15
    Último Post: 21-11-2006, 22:52
  3. Tentativa de conectar pelo ssh
    Por Bravo no fórum Segurança
    Respostas: 10
    Último Post: 03-03-2005, 08:47
  4. Erro na conexão SSH no Débian R2 e acesso de estaçao windows
    Por LeoJfa no fórum Servidores de Rede
    Respostas: 2
    Último Post: 06-12-2004, 19:36
  5. Copiar arquivo pelo SSH
    Por no fórum Servidores de Rede
    Respostas: 5
    Último Post: 02-03-2003, 09:56

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L