ja tentou desativar tb o telnet pra ver se os logs param? e pq nao usar ssh ao inves de telnet sendo q o ssh eh muito mais seguro...
Versão Imprimível
ja tentou desativar tb o telnet pra ver se os logs param? e pq nao usar ssh ao inves de telnet sendo q o ssh eh muito mais seguro...
É pessoal, só consegui me livrar desse ataque desativando mesmo as portas ssh, telnet, ftp, tftp, TUDO... colocando WP2 e revendo o controle de acesso por MAC. Mas gostaria de deixá-las ativadas porque as vezes são necessárias... Mais uma dúvida, como o cara que estava me atacando conseguia fazê-lo? até o ip dele não tem nada a ver com o meu... Tem alguma outra forma dele me atacar agora? Vlw pessoal!!:boxing:
Coisa facil ai esta a regra para ajudar vocês com essa invasão de ssh e brute force..
Segue abaixo as regras. (é só copiar e colar )
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
add action=drop chain=input comment="DROP SSH BRUTE FORCERS ( BLACK LIST )" \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=4w2d chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp
add action=drop chain=input comment="BLOQUEIO SSH - PORT 22-23" disabled=no \
dst-port=22-23 protocol=tcp
Agradeçer Não Mata..!
Amigo, muito obrigado... com esta regra... já tiramos meio mundo de pilantras do caminho... muito agradecido.
Usa SSH e mete o Fail2Ban que acaba com essa coisa toda... daí, cê pode por outras ferramentas de segurança (plugins pam, Jails e etc).