Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Question Tentativa de Login por SSH

    Bom Dia a todos.

    Agora pouco abri o terminal do mikrotik e me deparei com essa mensagem

    echo: system,error,critical login failure for user root from 187.111.63.17 via ssh

    Clique na imagem para uma versão maior

Nome:	         Erro.jpg
Visualizações:	316
Tamanho: 	68,4 KB
ID:      	62059

    Sou novo em mikrotik mas já deu pra entender que tem alguém querendo acessar certo ?


    O que devo fazer ?

    desde ja agraço a todos pela atenção.
    Obrigado.

    [Editado]

    Virou Festa agora

    dec/18/2015 11:40:02 system,error,critical login failure for user admin from 73.3.179.114 via telnet


    dec/18/2015 11:40:05 system,error,critical login failure for user echo welcome from 73.3.179.114 via telnet


    dec/18/2015 11:40:09 system,error,critical login failure for user admin from 73.3.179.114 via telnet


    dec/18/2015 11:40:11 system,error,critical login failure for user echo welcome from 73.3.179.114 via telnet


    dec/18/2015 11:40:33 system,error,critical login failure for user root from 187.19.96.213 via ssh


    dec/18/2015 11:45:10 system,error,critical login failure for user system from 24.149.113.230 via telnet


    dec/18/2015 11:45:17 system,error,critical login failure for user echo welcome from 24.149.113.230 via telnet


    dec/18/2015 12:06:48 system,error,critical login failure for user admin from 187.19.96.213 via ssh
    Última edição por jamers0n; 18-12-2015 às 12:16. Razão: Adicionando Informaçoes

  2. #2

    Padrão Re: Tentativa de Login por SSH

    É um ataque de lista, tipo Hydra, MKbrute, Bruteforce, etc... É tentativa de invasão com certeza... Mas se foi so isso, me parece que o atacante esta fazendo testes antes do ataque verdadeiro.
    Primeiro mude a senha do seu MK pra uma bem grande, tipo 10-12 caracteres, com simbolos, letras e números, maiusculas e minúsculas... asim o ataque levaria milhares de anos.... o problema e que o ataque consome sua rede...

    Esse IP e de cliente ou uma pessoa qualquer ?
    Quando e cliente eu converso e aviso que se acontecer de novo vou rescindir o contrato e desligar a net dele...
    E quando nao e cliente, bloquei o mac direto no Rocket, pro cidadao nao conseguir nem conectar...
    Mas o certo mesmo e você criar uma sub rede no MK pros seus clientes, dai o Ip do mikrotik fica fora da range dos clientes... só acessa quem tiver o IP certinho do MK. Agora as regras do MK eu não sei porque e meu irmão que faz essa parte...

  3. #3

    Padrão Re: Tentativa de Login por SSH

    IP Qualquer 73.50.60.222

    Agora ficou serio

    Clique na imagem para uma versão maior

Nome:	         continuo.png
Visualizações:	418
Tamanho: 	725,5 KB
ID:      	62060

    O que devo fazer ?

    Citação Postado originalmente por sphreak Ver Post
    Esse IP e de cliente ou uma pessoa qualquer ?
    Quando e cliente eu converso e aviso que se acontecer de novo vou rescindir o contrato e desligar a net dele...
    E quando nao e cliente, bloquei o mac direto no Rocket, pro cidadao nao conseguir nem conectar...
    Mas o certo mesmo e você criar uma sub rede no MK pros seus clientes, dai o Ip do mikrotik fica fora da range dos clientes... só acessa quem tiver o IP certinho do MK. Agora as regras do MK eu não sei porque e meu irmão que faz essa parte...

  4. #4

    Padrão Re: Tentativa de Login por SSH

    É um ataque de bruteforce nervoso!!!!!

    Vou dar um alo pro meu irmão e daqui a pouco posto algo...

  5. #5

    Padrão Re: Tentativa de Login por SSH

    Meu irmao falou que usou isso aqui pra proteção...

    http://wiki.mikrotik.com/wiki/Brutef...gin_prevention

    Ele disse que mudou algumas configs pra mudar o tempo de ban e o ban para downstream.

    Ele me falou que da ban por 2 dias no downstream, dai se o cliente ligar reclamando que esta sem conexão a gente conversa de perto com o cidadão

  6. #6

    Padrão Re: Tentativa de Login por SSH

    Você está utilizando a porta padrão?

  7. #7

    Padrão Re: Tentativa de Login por SSH

    /ip service set ssh port=2222
    ou
    ip service disable 3
    bom trabalho.!!

  8. #8

    Padrão Re: Tentativa de Login por SSH

    Citação Postado originalmente por sphreak Ver Post
    Meu irmao falou que usou isso aqui pra proteção...

    http://wiki.mikrotik.com/wiki/Brutef...gin_prevention

    Ele disse que mudou algumas configs pra mudar o tempo de ban e o ban para downstream.

    Ele me falou que da ban por 2 dias no downstream, dai se o cliente ligar reclamando que esta sem conexão a gente conversa de perto com o cidadão


    Vou tentar aqui.
    Ja posto resultados
    Obrigado.

  9. #9

    Padrão Re: Tentativa de Login por SSH

    Bloquear attack por MAC externamente essa é nova. Rsrsrs

  10. #10

    Padrão Re: Tentativa de Login por SSH

    Sugiro apenas trocar a porta. Para esse caso acredito que seja o suficiente.

  11. #11

    Padrão Re: Tentativa de Login por SSH

    Citação Postado originalmente por RodrigoRocha Ver Post
    Sugiro apenas trocar a porta. Para esse caso acredito que seja o suficiente.
    Reforço o que o Rodrigo disse!

    Acrescento:

    O 187.111.63.17 pertence a esses dados:
    AS | IP | AS Name
    262711 | 187.111.63.17 | TEK TURBO PROVEDOR DE INTERNET LTDA,BR

    O 187.19.96.213 pertence a esses dados:
    AS | IP | AS Name
    28130 | 187.19.96.213 | NETCERTTO INFORMATICA LTDA.,BR

    O 24.149.113.230 pertence a esses dados:
    AS | IP | AS Name
    4922 | 24.149.113.230 | GLOBALCOM - Shentel Service Company,US

    O 73.3.179.114 pertence a esses dados:

    AS | IP | AS Name
    7922 | 73.3.179.114 | COMCAST-7922 - Comcast Cable Communications, Inc.,US

    Dica: os dois primeiros IPs são brasileiros, então dá pra ligar pra lá e saber o porquê deles estarem rodando bruteforce na sua rede.

    Os outros, você terá que entrar em contato por e-mail mesmo. Geralmente começa com "abuse@..."

    Boa sorte!

  12. #12

    Padrão Re: Tentativa de Login por SSH

    Fiz isso logo pela manha caro amigo surfinhu
    Mandei email paras os demais antes de postar pela segunda vez.

    Troquei Meu Usuário e minha senha ja era difícil alguém acertar mesmo

    mesmo assim agradeço pela atenção

    Citação Postado originalmente por surfinhu Ver Post
    Reforço o que o Rodrigo disse!

    Acrescento:

    O 187.111.63.17 pertence a esses dados:
    AS | IP | AS Name
    262711 | 187.111.63.17 | TEK TURBO PROVEDOR DE INTERNET LTDA,BR

    O 187.19.96.213 pertence a esses dados:
    AS | IP | AS Name
    28130 | 187.19.96.213 | NETCERTTO INFORMATICA LTDA.,BR

    O 24.149.113.230 pertence a esses dados:
    AS | IP | AS Name
    4922 | 24.149.113.230 | GLOBALCOM - Shentel Service Company,US

    O 73.3.179.114 pertence a esses dados:

    AS | IP | AS Name
    7922 | 73.3.179.114 | COMCAST-7922 - Comcast Cable Communications, Inc.,US

    Dica: os dois primeiros IPs são brasileiros, então dá pra ligar pra lá e saber o porquê deles estarem rodando bruteforce na sua rede.

    Os outros, você terá que entrar em contato por e-mail mesmo. Geralmente começa com "abuse@..."

    Boa sorte!

  13. #13

    Padrão Re: Tentativa de Login por SSH

    Sim uso, mas irei mudar já já
    Citação Postado originalmente por RodrigoRocha Ver Post
    Você está utilizando a porta padrão?

  14. #14

    Padrão Re: Tentativa de Login por SSH

    Troca de porta não adianta..... cain.abel + Nmap no linux e em 2 minutos o ataque ta rolando de novo... Tem que dropar e banir o mac apos X tentativas erradas de login...

  15. #15

    Padrão Re: Tentativa de Login por SSH

    Citação Postado originalmente por sphreak Ver Post
    Troca de porta não adianta..... cain.abel + Nmap no linux e em 2 minutos o ataque ta rolando de novo... Tem que dropar e banir o mac apos X tentativas erradas de login...
    Desculpa minha ignorância, mas não aparece o Mac, só os IP de quem tentou logar.
    Da pra fazer o Drop no IP ?
    Como faço o drop no IP ?

  16. #16

    Padrão Re: Tentativa de Login por SSH

    amigo fáscio resolver de primeira mão (winbox > ip > service desabilita ssh ou muda a porta tipo 2020 e pronto boa sorte para regras de seguração meu SKYPE aprendainformaticaskype

  17. #17

    Padrão

    Citação Postado originalmente por bfwcache Ver Post
    amigo fáscio resolver de primeira mão (winbox > ip > service desabilita ssh ou muda a porta tipo 2020 e pronto boa sorte para regras de seguração meu SKYPE aprendainformaticaskype
    Amigo... quer ajudar faça em publico pra todos aprenderem... Acho que esse e o objetivo do forum... Ou quer $$$$?

    Lançada a dúvida.....

  18. #18

    Padrão Re: Tentativa de Login por SSH

    Citação Postado originalmente por jamers0n Ver Post
    Desculpa minha ignorância, mas não aparece o Mac, só os IP de quem tentou logar.
    Da pra fazer o Drop no IP ?
    Como faço o drop no IP ?
    Bloquear o mac é no radio.. .. Na mao mesmo...
    Se voce tiver Dhcp ativo o correto e fazer mac list preso a um Ip fixo... dai quem nao tiver mac cadastrado nao recebe Ip... so assim que funciona o mac ban.

    Ao contrario do que o pessoal ta postando sobre mudar a porta... não adianta nada... Com 2 comandos de Nmap no Linux dá pra descobrir qualquer porta aberta em 3minutos... ou seja... mudar a porta so vai atrasar em uns 5minutos o atacante..

    Vai por mim..

  19. #19

    Padrão Re: Tentativa de Login por SSH

    Citação Postado originalmente por sphreak Ver Post
    Bloquear o mac é no radio.. .. Na mao mesmo...
    Se voce tiver Dhcp ativo o correto e fazer mac list preso a um Ip fixo... dai quem nao tiver mac cadastrado nao recebe Ip... so assim que funciona o mac ban.

    Ao contrario do que o pessoal ta postando sobre mudar a porta... não adianta nada... Com 2 comandos de Nmap no Linux dá pra descobrir qualquer porta aberta em 3minutos... ou seja... mudar a porta so vai atrasar em uns 5minutos o atacante..

    Vai por mim..
    Uso o MK para gerenciar meus clientes no PPPoE em rede cabeada.
    Já desatiei o SSH e FTP.
    O ataque esta vindo de fora pelo que percebi, nosso amigo que está usando Brutal Force e usa VPN vai ser difícil acha o abençoado, fica a dúvida posso deixar desabilitado ?
    Tenho clientes que jogam LoL ( os mais exigentes) Xbox e PlayStation.
    Até onde sei SSH e FTP não vão atrapalhar, está correto isso ?
    Agora o Telnet como bloqueio ? Ou ele já fica bloqueado quando desabilitou as portas ?
    Se eu trocar o IP público resolve ?

    Minha última duvida, como o abençoado descobriu o IP da RB ? Algum vírus no PC dos clientes ou será que realmente o ataque é interno mas o abençoado só usa VPN mesmo?

    Amigos do Forum
    agradeço a todos pela atencao.
    Obrigado .

  20. #20

    Padrão Re: Tentativa de Login por SSH

    A unica coisa que o meu fica abilitado e o winbox e o api o resto tudo fechado depois disso n tive problema com invasao!