Tentativas de Invasão !!

Pessoal, constantemente estão tentando arrebentar meu SERVER sem sucesso mas mesmo assim teria alguma forma ou algum script pra dropar por definitivo o IP que está tentando acessar meu ssh ?
Alguma dica ?
Ou ate mesmo algo que eu possa retribuir tanta dedicação de um FDP.

Jul 27 22:56:56 guarana sshd[19299]: Failed password for root from 218.12.174.4 port 59816 ssh2
Jul 27 22:57:06 guarana sshd[19302]: Failed password for root from 218.12.174.4 port 34283 ssh2
Jul 27 22:57:12 guarana sshd[19305]: Failed password for root from 218.12.174.4 port 36934 ssh2
Jul 27 22:57:22 guarana sshd[19308]: Failed password for root from 218.12.174.4 port 39021 ssh2
Jul 27 22:57:28 guarana sshd[19311]: Failed password for root from 218.12.174.4 port 41698 ssh2
Jul 27 22:57:32 guarana sshd[19314]: Failed password for root from 218.12.174.4 port 43350 ssh2
Jul 27 22:57:37 guarana sshd[19317]: Failed password for root from 218.12.174.4 port 44487 ssh2
Jul 27 22:57:41 guarana sshd[19320]: Failed password for root from 218.12.174.4 port 45674 ssh2
Jul 27 22:57:44 guarana sshd[19323]: Failed password for root from 218.12.174.4 port 46807 ssh2
Jul 27 22:57:48 guarana sshd[19326]: Failed password for root from 218.12.174.4 port 47884 ssh2
Jul 27 22:57:52 guarana sshd[19329]: Failed password for root from 218.12.174.4 port 49043 ssh2
Jul 27 22:57:56 guarana sshd[19332]: Failed password for root from 218.12.174.4 port 50209 ssh2
Jul 27 22:58:00 guarana sshd[19335]: Failed password for root from 218.12.174.4 port 51311 ssh2
Jul 27 22:58:04 guarana sshd[19338]: Failed password for root from 218.12.174.4 port 53197 ssh2
Jul 27 22:58:08 guarana sshd[19341]: Failed password for root from 218.12.174.4 port 54613 ssh2
Jul 27 22:58:12 guarana sshd[19344]: Failed password for root from 218.12.174.4 port 57221 ssh2
Jul 27 22:58:16 guarana sshd[19347]: Failed password for root from 218.12.174.4 port 59165 ssh2
Jul 27 22:58:20 guarana sshd[19350]: Failed password for root from 218.12.174.4 port 32844 ssh2
Jul 27 22:58:24 guarana sshd[19353]: Failed password for root from 218.12.174.4 port 34632 ssh2
Jul 27 22:58:28 guarana sshd[19356]: Failed password for root from 218.12.174.4 port 36831 ssh2
Jul 27 22:58:32 guarana sshd[19359]: Failed password for root from 218.12.174.4 port 38945 ssh2
Jul 27 22:58:36 guarana sshd[19362]: Failed password for root from 218.12.174.4 port 41174 ssh2

Re: Tentativas de Invasão !!

Duas coisas. Primeiro mude a porta do SSH para outra que não seja a 22.

Instala o ossec: https://under-linux.org/content/view/6126/59/

Re: Tentativas de Invasão !!

A porta do ssh ja ta alterada.
Vou analisar esse ossec.
Na sua opinião seria melhor o ossec ou o snort ?

Valeu ai Tiger

Re: Tentativas de Invasão !!

Disponha.

Re: Tentativas de Invasão !!

spyderlinux, tenta uma regrinha assim no seu iptables manoww..

Supondo que sua porta ssh esteja em 99

iptables -A INPUT -p tcp 99 -s! 218.12.174.4 -j ACCEPT

abraços manow

Re: Tentativas de Invasão !!

Nesta regra vc libera a porta 99 para todos menos o cara que tah te enviando?

Isso não funciona pq esses caras usam sempre trocentos IPs.

O ossec barra já quando eles tentam acessar.

Re: Tentativas de Invasão !!

Com certeza WhiteTiger, porem achei que era um caso especifico desse ip.

Mas é isso ai, e pensando melhor, nem especifica a porta.

iptables -A INPUT -s 218.12.174.4 -j DROP

Abraços

Re: Tentativas de Invasão !!

O ideal é que vc mude a porta, bloqueie todo acesso por ssh para rede externa e libere para a rede iterna apenas os mac das máquinas que precisam.

Re: Tentativas de Invasão !!

Citação:

Postado originalmente por spyderlinux

A porta do ssh ja ta alterada.
Vou analisar esse ossec.
Na sua opinião seria melhor o ossec ou o snort ?

Valeu ai Tiger

usa os 2 juntos...... o ossec le os logs do snort mto bem
se bem que pra essa merdinha de bruteforce soh o ossec da conta com os 2 pes nas costas

Re: Tentativas de Invasão !!

Como eu libero internamente pra determinados MACs? O que eu tenho que usar? Tb estou com esse problemas.

Re: Tentativas de Invasão !!

Citação:

Postado originalmente por samuelstj

Como eu libero internamente pra determinados MACs? O que eu tenho que usar? Tb estou com esse problemas.

Você se refere ao SSH ?

/usr/sbin/iptables -t filter -A FORWARD -m mac -mac-source 00:60:08:91:CC:B9 -p tcp --dport ssh -j ACCEPT

Isso supondo que seja um Mac apenas.

Acredito que assim funcione.
Obs: Não informei regra para INPUT como DROP pelo fato que sua POLITICA deve estar como DROP para a entrada, sendo assim, num precisa.

Re: Tentativas de Invasão !!

Kra eu fiz um esqueminha basico do snort, pega ele ai e da uma analizada talvez te seja util...

http://www.tftecnologia.com.br/ids.zip

Re: Tentativas de Invasão !!

aí faz o seguinte... habilita no teu ssh a opçao de nao aceitar login como root. Cria um usuário sem privilégios e defina que apenas esse usuário terá acesso no SSH colocando a seguinte regra no sshd_config: AllowUsers nomedousuario
Depois faz a seguinte:

Digamos q vc use o ip 200.200.100.100 para acesso SSH externo e a porta seja a 2222:

iptables -A INPUT -p tcp -s 200.200.100.100/26 --dport 3022 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 2222 -j REJECT

Com essa regra vc libera acesso SSH vindo de fora apenas para esse ip...
é uma boa vc fazer isso