Tentativa de invasão

[1929]

Pessoal,
Logo agora que o hotspot do MK ficou uma beleza, apareceu uma tentativa de invasão, eu acho.

A mensagem que aparece cerca de 400 vezes é:

system critical error, login failure for user.....( aparece cada vez com nome diferente) from 203.92.190.7 via SSH.

Isto é força bruta?

Pelo IP dá para tentar achar quem é?

[sergio]

Vc usa SSH para acessar o sistema? Se não, desative o serviço e durma tranquilo.

[lucianogf]

sim... isso é ataque por força bruta.

como sugeriu o Sergio, se você não usa o serviço desabilite-o, caso você o use, terá que melhorar sua política de segurança.

[1929]

Vê só o problema quando o cara é crú em MK, como o meu caso.

Uma semana atrás quando o MK funcionou só por 2 horas, aconteceu a mesma coisa. Depois não apareceu porque o servidor não configurava.
Hoje que acertei a configuração o sujeito voltou a atacar.

Para esta situação a solução é bem simples.
E este ip que aparece pode ser também falso? Tem como eu achar ele?

Vou fazer isso que voces sugeriram!

Obrigado!

[sergio]

Não vá perder seu tempo procurando sobre este IP (vem da China, se não for nenhum spoof) pois trata-se normalmente de robôs que tem por tarefa fazer isso (ataque por FB).

[luizbe]

aba
IP > FIREWALL > FILTER

clica em +

chain: input
protocol: tcp ip
dst. port: 20-24
action: drop

;]

[1929]

aba
IP > FIREWALL > FILTER

clica em +

chain: input
protocol: tcp ip
dst. port: 20-24
action: drop

;]

Caro Luiz,

Vou aproveitar esta sua dica para aprender mais.
Exatamente o que faz esta regra?
Ela bloqueia endereços IP de entrar nestas portas?

[luizbe]

bloqueia todos os ip's de entrarem nessas portas.

se você setar o ip em
Src. Address só bloqueia aquele ip

lembrando que você deve setar a mascara de subrede apos o ip no src. adress..
exemplo bloquear somente o ip 200.200.200.4

o src. addres fica assim:
src. address: 20.200.200.4/32

se quiser bloquear do .1 ao .254 use
src. address 200.200.200.0/24

se quiser bloquear 2 class..
src. address: 200.200.0.0/16

;}

see ya.

[1929]

bloqueia todos os ip's de entrarem nessas portas.

se você setar o ip em
Src. Address só bloqueia aquele ip

lembrando que você deve setar a mascara de subrede apos o ip no src. adress..
exemplo bloquear somente o ip 200.200.200.4

o src. addres fica assim:
src. address: 20.200.200.4/32

se quiser bloquear do .1 ao .254 use
src. address 200.200.200.0/24

se quiser bloquear 2 class..
src. address: 200.200.0.0/16

;}

see ya.

Perfeito! Entendi

E se aparecer outra vez com outra classe de Ip, eu posso ir acrescentando nas regras?

E se o invasor tentar com a mesma classe de Ip que eu uso, aí não vai travar também a minha rede se eu acrescentar?

[lucianogf]

você pode criar uma regra que permita apenas uma conexão ssh por minuto, tentativas acima desse valor vão para um addfress-list, e você bloqueia tudo que está nessa lista.

[1929]

você pode criar uma regra que permita apenas uma conexão ssh por minuto, tentativas acima desse valor vão para um addfress-list, e você bloqueia tudo que está nessa lista.

Acho que vai valer a pena todo o esforço que fiz até agora para fazer funcionar o MK. Tem recurso para tudo, tchê!

Esta regra eu faço onde, e como, Luciano?

[superxandaoce]

Cara, acrescenta estas regras em teu firewall:
IP/Firewall/EM Filter Rules

add action=drop chain=input comment="DROP TELNET SSH FTP" disabled=no \
dst-port=21-23 protocol=tcp

Se usa porta do proxy for 8080, se não muda abaixo para a que vc usa:

add action=drop chain=input comment="" disabled=no dst-port=8080 \
in-interface=link protocol=tcp

outros controle bons:

add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
disabled=no protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="SYN/FIN scan" disabled=no \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="SYN/RST scan" disabled=no \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" disabled=no \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="ALL/ALL scan" disabled=no \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="NMAP NULL scan" disabled=no \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="dropping port scanners" disabled=no \
src-address-list="port scanners"

[Mirandapb]

Acompanhado o topico fiquei bastante interessado em desativar o serviço SSH mas não sei como proceder, o amigo Sergio poderia ajudar nessa tarefa?. Desde já agradeço.

[lucianogf]

Acompanhado o topico fiquei bastante interessado em desativar o serviço SSH mas não sei como proceder, o amigo Sergio poderia ajudar nessa tarefa?. Desde já agradeço.

se você quer desativar o serviço é só ir em IP > services, selecionar SSH e desativar...

[Mirandapb]

Ok Luciano, sao coisas simples, mas para o leigo parece complicado.
Valeu Kara está agradecido e bom inicio de semana.

[nandop1240]

A melhor maneira de assegurar é desativar o ssh, porém se vc usa o ssh para acessar, voce pode mudar a porta, pois na maioria dos casos os spoof procura ssh na porta 22. Mude a porta e veja o que ocorre, se parar tudo bem senao desabilita o ssh.

Uma braço.