-
SSh Invadido
Ola passoal....
Bom, tenho um firewall usando slackware 10 e iptables...
Eu bloquei tudo e autorizei apenas portas comuns...email..internet e acesso ao ssh para manutencao.
A minha surpresa é que esse firewall foi invadido pelo ssh...alguem pode dar sugestao de como??...nao dei acesso a root, mas tem uns dois meses que nao atualizo o firewall, sera que ele conseguiu atravez de alguma vulnerabilidade ou senha fraca....alguem tem noticia que meio esta sendo mais usado pra invadir o ssh, ele nao deletou os log,s e percebi que ele teve acesso pelo ssh, depois do acesso ele colocou shutdown -h 0 no arquivo rc.M , bom logicamento toda vez que o firewal era ligado ele desligava antes mesmo de pedir a senha, eu tirei essa linha e voltou a funcionar normalmente,
bom, o ideial seria intalar tudo de novo, mas vou dar um tempo pra eu poder estudar que maneira ele usou pra ter acesso.....se alguem puder me ajudar a fazer auditoria seria bom pra nivel de conhecimento de todos aqui.
-
Re: SSh Invadido
Da uma olhada nos logs, se houve muitas tentivas de acesso...
Talvez ele usou um brute force e descobriu a senha...
Mais aplicar os patchs eh sempre bom..
-
Re: SSh Invadido
olha no meu aki estava tendo muitas tentativas de invasão pelos ssh coloquei um progama Deny Hosts q ele le o syslog a procura de tentativas se o ip tentou 3 vezes e naum teve sucesso ele bloqueia o ip no hosts.deny aki ele funiciona muito bem qualquer duvida estamos ai.Olha se ele teve acesso a sua maquina e for um hacker esperto conserteza apagou todos os rastros ai fica dificil de descobrir.Mas da uma olhada nos logs do kernel.
Flw
-
Re: SSh Invadido
Sim...teve varias tentativas, inclusive no dia que foi invadido teve varias tentivas de um mesmo ip...um ip dos USA, acho que ele usou forca bruta, a senha era "1q2w3e4r" é uma senha fraca
-
Re: SSh Invadido
Os logs estao todos no firewalll...amanha estarei no meu cliente e postarei os log's pra gente poder estudar o caso, vc poderia detalhar mais como eu bloqueio o ip depois de 3 tentativas