Re: Tentativas de Invasão !!
Duas coisas. Primeiro mude a porta do SSH para outra que não seja a 22.
Instala o ossec: https://under-linux.org/content/view/6126/59/
Re: Tentativas de Invasão !!
A porta do ssh ja ta alterada.
Vou analisar esse ossec.
Na sua opinião seria melhor o ossec ou o snort ?
Valeu ai Tiger
Re: Tentativas de Invasão !!
Re: Tentativas de Invasão !!
spyderlinux, tenta uma regrinha assim no seu iptables manoww..
Supondo que sua porta ssh esteja em 99
iptables -A INPUT -p tcp 99 -s! 218.12.174.4 -j ACCEPT
abraços manow
Re: Tentativas de Invasão !!
Nesta regra vc libera a porta 99 para todos menos o cara que tah te enviando?
Isso não funciona pq esses caras usam sempre trocentos IPs.
O ossec barra já quando eles tentam acessar.
Re: Tentativas de Invasão !!
Com certeza WhiteTiger, porem achei que era um caso especifico desse ip.
Mas é isso ai, e pensando melhor, nem especifica a porta.
iptables -A INPUT -s 218.12.174.4 -j DROP
Abraços
Re: Tentativas de Invasão !!
O ideal é que vc mude a porta, bloqueie todo acesso por ssh para rede externa e libere para a rede iterna apenas os mac das máquinas que precisam.
Re: Tentativas de Invasão !!
Citação:
Postado originalmente por spyderlinux
A porta do ssh ja ta alterada.
Vou analisar esse ossec.
Na sua opinião seria melhor o ossec ou o snort ?
Valeu ai Tiger
usa os 2 juntos...... o ossec le os logs do snort mto bem
se bem que pra essa merdinha de bruteforce soh o ossec da conta com os 2 pes nas costas
Re: Tentativas de Invasão !!
Como eu libero internamente pra determinados MACs? O que eu tenho que usar? Tb estou com esse problemas.
Re: Tentativas de Invasão !!
Citação:
Postado originalmente por samuelstj
Como eu libero internamente pra determinados MACs? O que eu tenho que usar? Tb estou com esse problemas.
Você se refere ao SSH ?
/usr/sbin/iptables -t filter -A FORWARD -m mac -mac-source 00:60:08:91:CC:B9 -p tcp --dport ssh -j ACCEPT
Isso supondo que seja um Mac apenas.
Acredito que assim funcione.
Obs: Não informei regra para INPUT como DROP pelo fato que sua POLITICA deve estar como DROP para a entrada, sendo assim, num precisa.
Re: Tentativas de Invasão !!
Kra eu fiz um esqueminha basico do snort, pega ele ai e da uma analizada talvez te seja util...
http://www.tftecnologia.com.br/ids.zip
Re: Tentativas de Invasão !!
aí faz o seguinte... habilita no teu ssh a opçao de nao aceitar login como root. Cria um usuário sem privilégios e defina que apenas esse usuário terá acesso no SSH colocando a seguinte regra no sshd_config: AllowUsers nomedousuario
Depois faz a seguinte:
Digamos q vc use o ip 200.200.100.100 para acesso SSH externo e a porta seja a 2222:
iptables -A INPUT -p tcp -s 200.200.100.100/26 --dport 3022 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 2222 -j REJECT
Com essa regra vc libera acesso SSH vindo de fora apenas para esse ip...
é uma boa vc fazer isso