Postado originalmente por
Kernel Panic
Olá,
Esse tipo de tentativas é padrão na internet, é um sistema automatizado que varre redes e utiliza-se de brute force com base em dicionários de palavras, na maioria das vezes é praticados por "scriptkids" como eles atiram para qualquer lado as vezes pegam um ou outro serviço, se fosse uma ameaça real é plausível que ele já teria acesso root no servidor.
Alguns pontos a se observar:
- desative aquilo que você não precisa. regra: "tudo é proibido, exceto...."
- Serviço de Telnet? pra que isso esta rodando ai mesmo? quem usa isso ai? Qualquer sistema que utilize acesso telnet remoto não deve ser levado a sério.
- trocar de portas padrão NÃO RESOLVE, pois em um scanner completo, mesmo que você mude a porta ainda ira parecer ao atacante todas as portas abertas.
- considere a possibilidade de colocar um firewall com IDS (Intrusion Detection System) que ira analisar as assinatura de ataque e associado a um programa que toda decisões, como por exemplo: o sistema emite um sinal positivo para assinatura de ataque, no seu caso, brute force, ele bloqueia o ip por por 24 horas, avisa o admin por sms, email, aciona a cafeteira, etc. (snort, guardian, entre outros)
- 4FUN: Reação, o IDS detecta uma invasão e o servidor passa a rodar rotinas de ataques reversos, como scritps de segurança que analisem o atacante e ataquem de volta com dos, ddos, flood, etc. "Aquele que se empenha a resolver as dificuldades resolve-as antes que elas surjam. Aquele que se ultrapassa a vencer os inimigos triunfa antes que as suas ameaças se concretizem." Sun Tzu ( A Arte da Guerra)
- É provável que a máquina de onde se origina o ataque, esteja comprometida, elabore um email padrão e encaminhe ao admin da rede e a administração da empresa, fazer um administrador de rede explicar ao diretor da empresa porque a empresa dele esta atacando outras empresas na internet pode ser mais eficaz que qualquer outra medida de seguranças. Pelo menos demonstra a que na sua empresa, segurança é levado a sério e vocês estão atentos.
- Gere log de tudo e leia, de que adianta ter log se ninguém lê, se são muitos logs, existem ferramentas que te ajudam nisso. log existe para prevenir e não para ajudar a resolver depois que o pior já aconteceu, até porque limpar traços de uma invasão também é uma arte.
- Concentre sua atenção naquilo que esta acontecendo dentro da sua rede, 97% dos incidentes acontecem ali. Invasões por agentes externos acontecem mais em filmes que na vida real.
- Serviços e servidores podem estar em uma rede separada, como uma DMZ por exemplo.
- Muitas vezes aquela CPU antiga jogada no fundo da área técnica pode se tornar um firewall/IDS melhor do que uma solução pronta, cara e ineficaz.
Sou um otimista, acredito que: "Todo servidor é seguro, exceto os mal configurados."
Espero ter ajudado.
[]'s
KP