Tentativas de invasão.

[Lisboa]

Olá pessoal estou sofrendo várias tentativas de invasão em meu mikrotik via ssh. Como ele encontram meu ip? E o que devo fazer pra evitar este problema? Como faço para eles não me localizarem?

[bjaraujo]

Muda a porta do ssh que você minimiza o problema.

[MaxAdriano]

faz assim ip>services desabilita o ssh se vc não usa ou se vc usa troca a porta padrão 22 por outra, outra dica se vc naum autero ainda a porta www que é 80 troca por outra que essa é usada pelo webbox, se alguem digitar o ip do seu servidor no navegador abre a pagina de autenticação...

[felipenoogueira]

Coloque um firewall em sua rede bem configurado e não tera estes problemas.

[piu12]

Faz isso tudo que falaram ai em cima e coloque regras de firewall liberando o acesso so pra determinado ip, resolvi assim

[Lisboa]

Valeu pessoal muito obrigado pelas dicas.

[pedemesa]

Cara, no firewall libera acesso só para os ips que vc usa ou desabilita o ssh... aqui eu tenho desabilitado tudo que eu não uso...
Outra pode ser bloquear o IP do cara, vai ver ele tem IP fixo e não consegue mais mudar... mas isso seria apenas uma solução para esse caso... se vc só liberar os ips que vc precisa é muito melhor... não terás mais esse problema... Esse carinha não parece muito esperto não... está usando ataque de dicionário com usuários diferentes... desse jeito ele vai levar uma década pra conseguir alguma coisa...

[1929]

Cara, no firewall libera acesso só para os ips que vc usa ou desabilita o ssh... aqui eu tenho desabilitado tudo que eu não uso...
Outra pode ser bloquear o IP do cara, vai ver ele tem IP fixo e não consegue mais mudar... mas isso seria apenas uma solução para esse caso... se vc só liberar os ips que vc precisa é muito melhor... não terás mais esse problema... Esse carinha não parece muito esperto não... está usando ataque de dicionário com usuários diferentes... desse jeito ele vai levar uma década pra conseguir alguma coisa...

Tenho visto este tipo de ataque. E me parece que ele pode ser de qualquer lugar do mundo e não especificamente de alguém daqui querendo entrar.
Parece que tem maquinas varrendo a net permanentemente para encontrar portas para entrar.

Eu também desativei o SSH e nunca mais apareceu

[Não Registrado(s)]

Caro Amigo.
Adicionei as regras abaixo no meu firewall, depois da terceira tentativa ele coloca o IP que está tentando acessar em uma black list, e exclui a minha rede local ´src-address=!200.xxx.x.0/24´ e fica na black list por 5 minutos, ´address-list-timeout=5m´este tempo pode ser maior

Ficou muito bom.


/ip firewall filter
add action=drop chain=input comment="Drop ssh brute forcers - SSH" disabled=\
no dst-port=22 protocol=tcp src-address=!200.xxx.x.0/24 src-address-list=\
ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=5m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp
add action=drop chain=input comment="Drop ssh brute forcers - winbox" \
disabled=no dst-port=8291 protocol=tcp src-address=!200.195.3.0/24 \
src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=5m chain=input comment="" connection-state=new \
disabled=no dst-port=8291 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=8291 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=8291 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=8291 protocol=tcp
add action=drop chain=input comment="Drop ssh brute forcers - ftp" disabled=\
no dst-port=21 protocol=tcp src-address=!200.195.3.0/24 src-address-list=\
ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=5m chain=input comment="" connection-state=new \
disabled=no dst-port=21 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=21 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=21 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=21 protocol=tcp
add action=drop chain=input comment="Drop ssh brute forcers - telnet" \
disabled=no dst-port=23 protocol=tcp src-address=!200.195.3.0/24 \
src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=5m chain=input comment="" connection-state=new \
disabled=no dst-port=23 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=23 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=23 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=23 protocol=tcp
add action=drop chain=input comment="Drop ssh brute forcers - http" disabled=\
no dst-port=80 protocol=tcp src-address=!200.195.3.0/24 src-address-list=\
ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=5m chain=input comment="" connection-state=new \
disabled=no dst-port=80 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=80 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=80 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=80 protocol=tcp

[netosdr]

Olá pessoal estou sofrendo várias tentativas de invasão em meu mikrotik via ssh. Como ele encontram meu ip? E o que devo fazer pra evitar este problema? Como faço para eles não me localizarem?

Vc acessa seu mikrotik de fora da sua rede? Via ssh, telnet ou winbox?

[Lisboa]

Só acesso via winbox. Gostaria de agradecer a todos pelas dicas.

[Lisboa]

Valeu pelas regras.

[marlon]

pega o ip do safado e procura uns tuto no YOUTUBE e fode o pc dele! ai acaba com o Problema!

[guilhermeramires]

Lisboa, seu ip é descoberto por port scanners que rodam na internet. Pra resolver esse problema do ssh basta você ir em IP -> Services e desabilitar o serviço de ssh. Porém isso não impede de sua máquina ficar sendo "fuçada". Pra bloquear esse tipo de scanner você faz o seguinte:

Essa regra abaixo adiciona os ips scanners a uma lista chamada "scanners" por 20 horas.

/ip firewall filter
add action=add-src-to-address-list address-list=scanners address-list-timeout=20h chain=input comment="Adiciona Port Scanners a lista de bloqueados por 20hs" disabled=no protocol=tcp psd=20,3s,3,1


Em seguida a regra abaixo dropa as demais tentativas.

add action=drop chain=input comment="Dropa conexoes de scanners" disabled=no protocol=tcp src-address-list=scanners

Por fim deixo a dica: "Um bom firewall te polpa muitas dores de cabeça"

Abs.

[escoba]

Desculpa se estou postando n0 lugar errado. Nunca entrei num forum antes e postei alguma coisa...
Mas estou com um problema sinistro aqui, tem um sac4na invadindo minha rede.
Sou leigo , vou logo falando !

Entao vejo ele pelo hosts do hotspot, não uso wep , wap nada...
Queria uma forma de evitar isso sem precisar criptografar a rede... se e que isso vai adiantar tb, se o cara for bom e usar linux acredito que ele vai descobrir a senha e continuar a brincadeira...
Bom, eu derrubo o cara no bindings ip e logo ele volta ou com outro ip ou com outro mac e ip do cliente, reparei tb que qdo o sac4na clonou meu mac ficamos os dois navegando juntos... e ai ferrou nao podia brincar de pega pega com ele... Ja mudei ssh, ja mudei www porta e o cara continua empreguinado aqui . Por favor alguém me ajuda a eliminar esse problema. Qdo deletei e bloquiei ele , ele veio com milhoes de ips diferente no mac que eu o deletei ... ta tenso e chato ... achei que o mk era o cara...

eu so to lendo no forum, regras de firewall para la e para cá , mas nao vi uma alma colocando-as aqui para ajudar a minha pobre alma ehhehehehe..
Outra, ele parece estar entrando por fora do hotspot, qdo ele entra fica um H em vez de D, AH ou AD...
Bom, se alguém puder me dar uma força nesse probleminha vou fica muito agradecido...

[1929]

Amigo, pensa seriamente em colocar uma boa chave de criptografia WPA2. Com letras numeros, sinais e tudo o mais que voce puder misturar.
Mas não coloca chave WEP que tem muita receita também para quebrar.
Duvido que ele vá entrar de novo.
Sem isso, ele vai continuar entrando. Está cheio de receitinhas no youtube para invadir redes.

Qual o motivo que voce não quer colocar criptografia?

[escoba]

Primeiro obrigado pela rapidez e informação !

Sem problemas então ! Uso a wap2 já que é mais seguro !
Mas me ajude em uma coisa, eu coloco a wap2 no meu AP que está lá em cima
ou no MK.

Outra o meu aP pede algumas configurações que não sei o que colocar, por exemplo..

encrypt um amigo disse para eu usar tkip...
Radius Server = numero de ip, qual ip e esse ?
radius porta = porta numero pode ser qualquer uma ?...

Ai vem a palavra chave depois disso... que pode ter 64 caractes ou hexadecimal.
Procurei no google algo que me ensinasse a preencher isso mas nada...
talvez seja a pressa de tirar o cara da rede... se pelo menos ele nao tivesse sugando todo o trafego eu nem esquentava, mas e sacana ... ai tenso...

[1929]

Os APs devem estar em bridge e o mikrotik só como servidor.
Então coloca a chave nos APS, como WPA2 AES. é modo como uso. Não uso nada de radius.
Esta chave voce vai colocar também nos APs clientes.
Só vai abrir a rede e entrar quem tiver a chave.
Com radius é mais eficiente ainda.
Mas é mais complicado. Pois vai ser preciso um servidor radius. Deixa só com a chave que é mais simples.
Mas garanto que ele não entra mais só com a criptografia WPA2.

[escoba]

vlw amigo, muito obrigado.
Farei o que falou ..

Abração e até a proxima...
Tive msn pode add ai [email protected]