Ataque (brute force via ssh)

**fabianoheringer** · 14-01-2006, 16:27

Ae galera, meu servidor ta enviando ataques de brute force para varios outros servidores, ja recebi varias notificacoes, gostaria de saber como impedir isso?

wrochal · 14-01-2006, 23:26

Caro,

Troque a porta default do SSH

Falou,

thiagog · 14-01-2006, 23:53

nege os pacotes com origem no seu servidor ou os de destino na porta 22
DROP ALL :good:

bonny · 15-01-2006, 05:27

primeiro, checa sua maquina, com certeza tem alguem dentro dela

instala o chkrootkit pra ver se tem algum rootkit instalado
baixa tambem
http://trance.brasirc.net/tools/kern_check.c
http://dump.pontal.net/tools/kern_check.c

gcc kern_check.c -o kern_check
./kern_check /boot/system.map (altere para o seu system.map)
veja se tem algum rootkit modular (LKM) no seu kernel, vou mostrar um exemplo com suckit (ele usa connectback):
# ./kern_check /boot/System.map-2.4.18-686
WARNING: This indicates the presence of the SuckIT rootkit.WARNING: (kernel) 0xf75f11f9 != 0xc01059dc (map) [002][sys_fork]

aconselho voce a formatar a maquina, os brute forces tentam obter acesso atravez de uma wordlist com usuarios/senhas padroes, procure nao usar senhas padroes, nem voce, nem os usuarios com acesso a sua maquina, se voce possui servidores de email ou ftp procure utilizar o home e a shell deles /dev/null, assim voce torna seu servidor mais seguro, pois o usuario tera somente autenticacao. faca um firewall baseado nas politicas DROP, libere somente o necessario para entrada e saida

**fabianoheringer** · 15-01-2006, 13:48

Postado originalmente por bonny

primeiro, checa sua maquina, com certeza tem alguem dentro dela

instala o chkrootkit pra ver se tem algum rootkit instalado
baixa tambem
http://trance.brasirc.net/tools/kern_check.c
http://dump.pontal.net/tools/kern_check.c

gcc kern_check.c -o kern_check
./kern_check /boot/system.map (altere para o seu system.map)
veja se tem algum rootkit modular (LKM) no seu kernel, vou mostrar um exemplo com suckit (ele usa connectback):
# ./kern_check /boot/System.map-2.4.18-686
WARNING: This indicates the presence of the SuckIT rootkit.WARNING: (kernel) 0xf75f11f9 != 0xc01059dc (map) [002][sys_fork]

aconselho voce a formatar a maquina, os brute forces tentam obter acesso atravez de uma wordlist com usuarios/senhas padroes, procure nao usar senhas padroes, nem voce, nem os usuarios com acesso a sua maquina, se voce possui servidores de email ou ftp procure utilizar o home e a shell deles /dev/null, assim voce torna seu servidor mais seguro, pois o usuario tera somente autenticacao. faca um firewall baseado nas politicas DROP, libere somente o necessario para entrada e saida

opa, rodei o kern_check e deu isso:

root@srv:/# ./kern_check /boot/System.map
loc_rkm: read: Invalid argument
Could not determine sys_call_table[] address from int 80h
kern_check: read: Invalid argument

rodei o chkrootkit e nao apareceu nenhum erro...

to tentando fazer uma politica DROP...

tenho server de email, dns, web nessa maquina...

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 -j ACCEPT

coloquei essas regras, mas o dns para de funcionar...será que ta faltando algo?
Abraços

**1c3m4n** · 15-01-2006, 16:05

Hmmm explica melhor, eh a sua maquina que está tentando "invadir" as outras? eh a partir de seu ip que está acontecendo os ataques?
Se for isso eh bom dar uma olhada em seus usuários, pode ser que algum espertinho esteja rodando um brute-force internamente e como vc faz o nat aparece como se fosse teu ip para os outros.

**fabianoheringer** · 15-01-2006, 21:52

opa, é minha maquina que está tentando fazer brute force em outras maquinas, essa maquina nao tem nat...ela é somente um servidor para requisicoes DNS...

bonny · 16-01-2006, 00:33

faltou o output amigao, se liga numa maneira legal de voce fazer isso:

iptables -F
iptables -X
iptables -Z

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP

agora para cada porta que voce for abrir voce usara duas linhas dessas como exemplo:
iptables -A INPUT -p tcp --dport PORTA -d IP-SERVIDOR -j ACCEPT
iptables -A OUTPUT -p tcp --sport PORTA -s IP-SERVIDOR -j ACCEPT

sobre o system.map, se apareceu isso voce usou o system.map errado, veja no /boot se esse e' o correto

**fabianoheringer** · 16-01-2006, 09:48

opa amigo, esqueci do OUTPUT mesmooo, e do estabilished hehehe...

bom, no meu /boot so tem esse System.map

root@srv:/home/admn# ls /boot
README.initrd System.map-ide-2.4.31 boot_message.txt config-ide-2.4.31 map vmlinuz
System.map boot.0300 config diag1.img supervise vmlinuz-ide-2.4.31

tentei nesse System.map-ide e tbm nao deu

Postado originalmente por bonny

faltou o output amigao, se liga numa maneira legal de voce fazer isso:

iptables -F
iptables -X
iptables -Z

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP

agora para cada porta que voce for abrir voce usara duas linhas dessas como exemplo:
iptables -A INPUT -p tcp --dport PORTA -d IP-SERVIDOR -j ACCEPT
iptables -A OUTPUT -p tcp --sport PORTA -s IP-SERVIDOR -j ACCEPT

sobre o system.map, se apareceu isso voce usou o system.map errado, veja no /boot se esse e' o correto

**japaeye4u** · 16-01-2006, 09:58

cara....

nao sei bem o que esta acontecendo... mais se se fosse eu, reinstalaria o sistema operacional dela todo... nao sabemos de que forma sua maquina foi hack....

melhor do que quebrar a cabeça em evitar isso e nao ter a certeza de que ainda exista algo malicioso em seu servidor...

**fabianoheringer** · 16-01-2006, 10:00

o problema que essa maquina foi recem-instalado, exatamente por esse problema, entao preciso inibir, se toda vez tiver q reinstalar eu to frito

Postado originalmente por japaeye4u

cara....

nao sei bem o que esta acontecendo... mais se se fosse eu, reinstalaria o sistema operacional dela todo... nao sabemos de que forma sua maquina foi hack....

melhor do que quebrar a cabeça em evitar isso e nao ter a certeza de que ainda exista algo malicioso em seu servidor...

bonny · 16-01-2006, 11:25

se voce passou o chkrootkit, e fez o kern_check, ta usando as regras iptables, entao nao precisa formatar a maquina, instala o strobe, no debian ele vem no pacote netdiag, e' um portscan, passa um portscan no servidor e ve se tem alguma porta aberta, mas faz isso sem as regras do iptables, usa lsof -i :PORTA pra saber o pid e o que ta rodando nela, nao disse pra voce usar o netstat por que geralmente os "hackerzinhos" usam binarios trojaneados, tais como ps, ls, netstat..., se voce achar alguma coisa suspeita, killa o pid e ve de onde partiu, abracos

**japaeye4u** · 16-01-2006, 11:41

tipo...

vc poderia começar do zero...

reinstalar... e logo em seguida.

1 - não deixar nenhum serviço ativo.
2 - aplicar as atualizações.
3 - preparar seu firewall.
4 - colocar em atividade somente o serviço que você vai utilizar, no caso o dns.

as brechas de segurança podem ser diversas...
1 - sua senha, somente você tem? é facil? contem caracteres especiais?
2 - por serviço, alguma vunerabilidade do seu serviço pode dar brechas de segurança no seu sistema. por isso as atualizações.

obs: você poderia postar a notificacao que vc recebeu?

[]s

Ataque (brute force via ssh)

Ferramentas de Tópicos