Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #21
    Visitante

    Padrão Ataque de scan no SSH

    Oct 11 09:17:30 servidor sshd[4720]: Did not receive identification string from 80.53.84.18
    Oct 11 09:34:18 servidor sshd[4723]: Failed password for nobody from 80.53.84.18 port 26334 ssh2
    Oct 11 09:34:21 servidor sshd[4725]: Illegal user patrick from 80.53.84.18
    Oct 11 09:34:24 servidor sshd[4727]: Illegal user patrick from 80.53.84.18
    Oct 11 09:34:26 servidor sshd[4729]: Failed password for root from 80.53.84.18 port 26450 ssh2
    Oct 11 09:34:29 servidor sshd[4731]: Failed password for root from 80.53.84.18 port 26479 ssh2
    Oct 11 09:34:32 servidor sshd[4733]: Failed password for root from 80.53.84.18 port 26524 ssh2
    Oct 11 09:34:35 servidor sshd[4735]: Failed password for root from 80.53.84.18 port 26558 ssh2
    Oct 11 09:34:37 servidor sshd[4737]: Failed password for root from 80.53.84.18 port 26598 ssh2
    Oct 11 09:34:40 servidor sshd[4739]: Illegal user rolo from 80.53.84.18
    Oct 11 09:34:43 servidor sshd[4741]: Illegal user iceuser from 80.53.84.18
    Oct 11 09:34:46 servidor sshd[4743]: Illegal user horde from 80.53.84.18
    Oct 11 09:34:48 servidor sshd[4745]: Illegal user cyrus from 80.53.84.18
    Oct 11 09:34:51 servidor sshd[4747]: Illegal user www from 80.53.84.18
    Oct 11 09:34:54 servidor sshd[4749]: Illegal user wwwrun from 80.53.84.18
    Oct 11 09:34:57 servidor sshd[4751]: Illegal user matt from 80.53.84.18
    Oct 11 09:34:59 servidor sshd[4753]: Illegal user test from 80.53.84.18
    Oct 11 09:35:02 servidor sshd[4755]: Illegal user test from 80.53.84.18
    Oct 11 09:35:05 servidor sshd[4757]: Illegal user test from 80.53.84.18
    Oct 11 09:35:08 servidor sshd[4759]: Illegal user test from 80.53.84.18
    Oct 11 09:35:11 servidor sshd[4761]: Illegal user www-data from 80.53.84.18
    Oct 11 09:35:13 servidor sshd[4763]: Failed password for mysql from 80.53.84.18 port 27107 ssh2
    Oct 11 09:35:16 servidor sshd[4765]: Failed password for operator from 80.53.84.18 port 27148 ssh2
    Oct 11 09:35:19 servidor sshd[4767]: Failed password for adm from 80.53.84.18 port 27189 ssh2
    Oct 11 09:35:22 servidor sshd[4769]: Illegal user apache from 80.53.84.18
    Oct 11 09:35:24 servidor sshd[4771]: Illegal user irc from 80.53.84.18
    Oct 11 09:35:27 servidor sshd[4773]: Illegal user irc from 80.53.84.18
    Oct 11 09:35:30 servidor sshd[4775]: Failed password for adm from 80.53.84.18 port 27345 ssh2
    Oct 11 09:35:33 servidor sshd[4777]: Failed password for root from 80.53.84.18 port 27383 ssh2
    Oct 11 09:35:35 servidor sshd[4779]: Failed password for root from 80.53.84.18 port 27425 ssh2
    Oct 11 09:35:38 servidor sshd[4781]: Failed password for root from 80.53.84.18 port 27461 ssh2
    Oct 11 09:35:41 servidor sshd[4783]: Illegal user jane from 80.53.84.18
    Oct 11 09:35:44 servidor sshd[4785]: Illegal user pamela from 80.53.84.18
    Oct 11 09:35:46 servidor sshd[4787]: Failed password for root from 80.53.84.18 port 27579 ssh2
    Oct 11 09:35:49 servidor sshd[4789]: Failed password for root from 80.53.84.18 port 27618 ssh2
    Oct 11 09:35:52 servidor sshd[4791]: Failed password for root from 80.53.84.18 port 27658 ssh2
    Oct 11 09:35:55 servidor sshd[4793]: Failed password for root from 80.53.84.18 port 27696 ssh2
    Oct 11 09:35:58 servidor sshd[4795]: Failed password for root from 80.53.84.18 port 27733 ssh2
    Oct 11 09:36:00 servidor sshd[4797]: Illegal user cosmin from 80.53.84.18
    Oct 11 09:36:03 servidor sshd[4799]: Failed password for root from 80.53.84.18 port 27812 ssh2
    Oct 11 09:36:06 servidor sshd[4801]: Failed password for root from 80.53.84.18 port 27855 ssh2
    Oct 11 09:36:09 servidor sshd[4803]: Failed password for root from 80.53.84.18 port 27892 ssh2
    Oct 11 09:36:11 servidor sshd[4805]: Failed password for root from 80.53.84.18 port 27938 ssh2
    Oct 11 09:36:14 servidor sshd[4807]: Failed password for root from 80.53.84.18 port 27974 ssh2
    Oct 11 09:36:17 servidor sshd[4809]: Failed password for root from 80.53.84.18 port 28020 ssh2
    Oct 11 09:36:20 servidor sshd[4811]: Failed password for root from 80.53.84.18 port 28060 ssh2
    Oct 11 09:36:22 servidor sshd[4813]: Failed password for root from 80.53.84.18 port 28101 ssh2
    Oct 11 09:36:25 servidor sshd[4815]: Failed password for root from 80.53.84.18 port 28141 ssh2
    Oct 11 09:36:28 servidor sshd[4817]: Failed password for root from 80.53.84.18 port 28177 ssh2
    Oct 11 09:36:31 servidor sshd[4819]: Failed password for root from 80.53.84.18 port 28219 ssh2
    Oct 11 09:36:33 servidor sshd[4821]: Failed password for root from 80.53.84.18 port 28255 ssh2
    Oct 11 09:36:36 servidor sshd[4823]: Failed password for root from 80.53.84.18 port 28296 ssh2
    Oct 11 09:36:39 servidor sshd[4825]: Failed password for root from 80.53.84.18 port 28337 ssh2
    Oct 11 09:36:42 servidor sshd[4827]: Failed password for root from 80.53.84.18 port 28374 ssh2
    Oct 11 09:36:45 servidor sshd[4829]: Failed password for root from 80.53.84.18 port 28416 ssh2
    Oct 11 09:36:47 servidor sshd[4831]: Failed password for root from 80.53.84.18 port 28457 ssh2
    Oct 11 09:36:50 servidor sshd[4833]: Failed password for root from 80.53.84.18 port 28496 ssh2
    Oct 11 09:36:53 servidor sshd[4835]: Failed password for root from 80.53.84.18 port 28539 ssh2
    Oct 11 09:36:56 servidor sshd[4837]: Failed password for root from 80.53.84.18 port 28578 ssh2
    Oct 11 09:36:58 servidor sshd[4839]: Failed password for root from 80.53.84.18 port 28619 ssh2
    Oct 11 09:37:01 servidor sshd[4841]: Failed password for root from 80.53.84.18 port 28660 ssh2
    Oct 11 09:37:04 servidor sshd[4843]: Failed password for root from 80.53.84.18 port 28696 ssh2
    Oct 11 09:37:07 servidor sshd[4845]: Failed password for root from 80.53.84.18 port 28737 ssh2
    Oct 11 09:37:09 servidor sshd[4847]: Failed password for root from 80.53.84.18 port 28776 ssh2
    Oct 11 09:37:12 servidor sshd[4849]: Failed password for root from 80.53.84.18 port 28816 ssh2
    Oct 11 09:37:15 servidor sshd[4851]: Failed password for root from 80.53.84.18 port 28857 ssh2
    Oct 11 09:37:18 servidor sshd[4853]: Failed password for root from 80.53.84.18 port 28901 ssh2
    Oct 11 09:37:20 servidor sshd[4855]: Failed password for root from 80.53.84.18 port 28941 ssh2
    Oct 11 09:37:23 servidor sshd[4857]: Failed password for root from 80.53.84.18 port 28980 ssh2
    Oct 11 09:37:26 servidor sshd[4859]: Failed password for root from 80.53.84.18 port 29023 ssh2
    Oct 11 09:37:29 servidor sshd[4861]: Failed password for root from 80.53.84.18 port 29064 ssh2
    Oct 11 09:37:31 servidor sshd[4863]: Failed password for root from 80.53.84.18 port 29112 ssh2
    Oct 11 09:37:34 servidor sshd[4865]: Failed password for root from 80.53.84.18 port 29151 ssh2
    Oct 11 09:37:37 servidor sshd[4867]: Failed password for root from 80.53.84.18 port 29198 ssh2
    Oct 11 09:37:40 servidor sshd[4869]: Failed password for root from 80.53.84.18 port 29237 ssh2
    Oct 11 09:37:43 servidor sshd[4871]: Illegal user cip52 from 80.53.84.18
    Oct 11 09:37:45 servidor sshd[4873]: Illegal user cip51 from 80.53.84.18
    Oct 11 09:37:48 servidor sshd[4875]: Failed password for root from 80.53.84.18 port 29370 ssh2
    Oct 11 09:37:51 servidor sshd[4877]: Illegal user noc from 80.53.84.18
    Oct 11 09:37:54 servidor sshd[4879]: Failed password for root from 80.53.84.18 port 29454 ssh2
    Oct 11 09:37:56 servidor sshd[4881]: Failed password for root from 80.53.84.18 port 29494 ssh2
    Oct 11 09:37:59 servidor sshd[4883]: Failed password for root from 80.53.84.18 port 29542 ssh2
    Oct 11 09:38:02 servidor sshd[4885]: Failed password for root from 80.53.84.18 port 29576 ssh2
    Oct 11 09:38:05 servidor sshd[4887]: Illegal user webmaster from 80.53.84.18
    Oct 11 09:38:07 servidor sshd[4889]: Illegal user data from 80.53.84.18
    Oct 11 09:38:10 servidor sshd[4891]: Illegal user user from 80.53.84.18
    Oct 11 09:38:13 servidor sshd[4893]: Illegal user user from 80.53.84.18
    Oct 11 09:38:16 servidor sshd[4895]: Illegal user user from 80.53.84.18
    Oct 11 09:38:18 servidor sshd[4897]: Illegal user web from 80.53.84.18
    Oct 11 09:38:21 servidor sshd[4899]: Illegal user web from 80.53.84.18
    Oct 11 09:38:24 servidor sshd[4901]: Illegal user oracle from 80.53.84.18
    Oct 11 09:38:27 servidor sshd[4903]: Illegal user sybase from 80.53.84.18
    Oct 11 09:38:30 servidor sshd[4905]: Illegal user master from 80.53.84.18
    Oct 11 09:38:32 servidor sshd[4907]: Illegal user account from 80.53.84.18
    Oct 11 09:38:35 servidor sshd[4909]: Illegal user backup from 80.53.84.18
    Oct 11 09:38:38 servidor sshd[4911]: Illegal user server from 80.53.84.18
    Oct 11 09:38:41 servidor sshd[4913]: Illegal user adam from 80.53.84.18
    Oct 11 09:38:43 servidor sshd[4915]: Illegal user alan from 80.53.84.18
    Oct 11 09:38:46 servidor sshd[4917]: Illegal user frank from 80.53.84.18
    Oct 11 09:38:49 servidor sshd[4919]: Illegal user george from 80.53.84.18
    Oct 11 09:38:52 servidor sshd[4921]: Illegal user henry from 80.53.84.18
    Oct 11 09:38:55 servidor sshd[4923]: Illegal user john from 80.53.84.18
    Oct 11 09:38:57 servidor sshd[4925]: Failed password for root from 80.53.84.18 port 1430 ssh2
    Oct 11 09:39:00 servidor sshd[4927]: Failed password for root from 80.53.84.18 port 1476 ssh2
    Oct 11 09:39:03 servidor sshd[4929]: Failed password for root from 80.53.84.18 port 1513 ssh2
    Oct 11 09:39:06 servidor sshd[4931]: Failed password for root from 80.53.84.18 port 1556 ssh2
    Oct 11 09:39:09 servidor sshd[4933]: Failed password for root from 80.53.84.18 port 1594 ssh2
    Oct 11 09:39:12 servidor sshd[4935]: Illegal user test from 80.53.84.18

    olha só as inumeras tentativas..impressioante mesmo

  2. #22
    wrochal
    Visitante

    Padrão Ataque de scan no SSH

    Amigos,

    Vou dar alguma dicas que aconselho.

    1. Mude a porta do ssh, por exemplo 9022
    /etc/ssh/sshd_config

    2. crie regra do iptables permitindo apenas o host que possa conectar

    iptables -A INPUT -s IP -p tcp --dport 9022 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --dport 9022 -j DROP

    3. Foi algo que fiz e achei interessante usar o poptop, aonde você conectar via protocolo pptp no linux e depois conectar via ssh, e claro permitir conexão do ssh apenas nos ips da VPN.

    4. Use o Portsentry para bloquear esses scans.

    Falou,

  3. #23

    Padrão Ataque de scan no SSH

    o bom seria colocar no firewall para negar a porta 22 para ips fora da classe 200.0.0.0/8, 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/16

    coisa do genero...
    ah.. filtro de icmp ajuda bastante!

  4. #24
    whinstonrodrigues
    Visitante

    Padrão vcs vao me xingar

    Vcs vão me xingar, pq isto ranca muito mobilidade de vcs.. Mas eu largo o meu SSH fechadinho por iptables (22), só deixando liberado para IPs confiáveis, internos e externos.

  5. #25
    estanisgeyer
    Visitante

    Padrão Ataque de scan no SSH

    O que também dá para fazer é mudar o sistema de autenticação através do PAM, trabalhando com o módulo PAM_TALLY, que conta o número de acessos fracassados e há a possibilidade de desabilitar o serviço para a origem por determinado tempo.

  6. #26
    nikolas
    Visitante

    Padrão Ataque de scan no SSH

    e onde poderia colocar no servidor para somente determinandos ip's fazer SSH no meu servidor?

    []'s

  7. #27
    slice
    Visitante

    Padrão Ataque de scan no SSH

    Citação Postado originalmente por nikolas
    e onde poderia colocar no servidor para somente determinandos ip's fazer SSH no meu servidor?

    []'s
    iptables -A INPUT -p tcp -s ip_amigo -d seu_ip -j ACCEPT
    iptables -A INPUT -p tcp -s 0/0 -d seu_ip -j DROP

  8. #28
    Visitante

    Padrão Ataque de scan no SSH

    se a senha conter caracteres especiais (!@#$.()-) fica muito mais dificil conseguir acesso a combinacao alpha-numerica com char especial gera uma combinacao muito vasta pros ataques brute force... o ataque pode demorar dias, semanas ate meses pra tentar todas as senhas possiveis

  9. #29
    nikolas
    Visitante

    Padrão Ataque de scan no SSH

    Obrigado amigo, aproveitando tenho uma classe de IP's tipo 192.168.0.0/29 que preciso colocar o MAC referente a cada IP permitido que fique casado para puder funcionar.

    Como que fica no "iptables"?

    []'s

  10. #30
    PedroNasc
    Visitante

    Padrão brute force

    Cara..... Alguem conhece algum desses softwares de "brute force",
    ??????????/

  11. #31
    Aquini
    Visitante

    Padrão Ataque de scan no SSH

    Dá uma "googlada" q vc vai achar quilos destas porcarias

    T+

  12. #32

    Padrão Ataque de scan no SSH

    Para efetuarem Penetration test em suas redes...

    Hacking Ético acima de tudo.

    http://www.k-otik.com/exploits/08202004.brutessh2.c.php

    []´s

    Marcos Pitanga

  13. #33

    Padrão Ataque de scan no SSH

    Isso só acontece em servidores com a porta padrão SSH sendo 22...
    Nos meus servidores mudei a porta padrão, coloquei portsentry e configurei no iptables para só permitir tentativa de conexão na nova porta que setei se for algum IP da faixa 200.0.0.0/8 ou 201.0.0.0/8, o resto DROP nele! Policy DROP que são faixas brasileiras que eu tenho conhecimento de já ter acessado remotamente deles.

  14. #34

    Padrão Ataque de scan no SSH

    Nossa, a dois dias eu venho virificando essas tentativas de acesso via SSH e pensei que era so no meu server, que eh caseiro naum tem nada de divulgado na net e nada...

    como vcs falaram tem varios lugares daonde vem essas tentativas, como users Jonhn, patrick e coisa do tipo...

    to monitorando diariamente os log do ssh e alterei a senha do root para uma mais incrementada

    mas axo que vo segui uma diga que li nos post anteriores...

    vo mudar a porta do ssh, isso talvez realmente ajude


    []'s

  15. #35

    Padrão Ataque de scan no SSH

    Se vocês não precisam acesso externo, fora do país, bloqueiem tudo que vier de classes diferentes de 200.* e 201.*
    Ou então, alterem a porta do sshd.
    E para reforçar um pouco mais, façam uma regrinha no ssh, para permitir apenas 3 tentativas de login por ip, após isto, o firewall dará DROP em todas conexões do host na porta do sshd.

    Abraços

  16. #36

    Padrão Ataque de scan no SSH

    Bem, para quem nao acompanha as listas de segurança deve começar a faze-lo, o cert e a rnp já anunciaram esse ataque a muito tempo atraz venho sofrendo esse tipo de ataque a pelos menos uns 3 meses, mas até hoje ninquem conseguiu comprometer o sistema ate mesmo porque o sistema de força bruta hoje em dia é complicado de se conseguir acesso.

    Mas vai uma dica para todos, desative o suporte a root no ssh, assim se alguem conseguir comprometer seu sistema so fara acesso a uma simples conta de usuário.

  17. #37

    Padrão Ataque de scan no SSH

    hehe, nego copiou minhas palavras :P

    Bem, tem mais coisa pra incrementar, alem de permitir apenas acesso as faixas 200.0.0.0/8 e 201.0.0.0/8, mudar a porta do sshd e colocar potsentry. Vamos vamos paranoiar um pouco?

    Também pode configurar para barrar acesso direto ao root no sshd_config com o parametro:
    PermitRootLogin no

    Crie um usuario que voce quer acessar remoto o SSH (ex.: ze_mane)
    Incremente o sshd_config com:
    AllowUsers ze_mane

    e edite o /etc/passd, e no usuario ze_mane troque /bin/bash, por um script que rode o "su - root", ex.: /bin/apenas-su (com isso depois de logar CASO ele consiga, não terá um shell, e sim apenas a tela pedindo a senha do root)

    agora edite o arquivo "/etc/pam.d/su" e descomente a seguinte linha:
    auth required /lib/security/$ISA/pam_wheel.so use_uid

    - crie um grupo chamado wheel, e coloque APENAS o ze_mane dentro (com isso, apenas o usuario ze_mane terá direito a dar "su" para root)
    - tenha certeza que passwd, shadow, groups estejam como 500...e blabla, acho que assim complica muito a vida de alguem que tentar acessar de fora...
    - ainda se for o caso, quer complicar mais, vai que sair um exploit louco pro cara conseguir logar com o ze_mane e nao rodar o "apenas-su", ative quota, e diga que esse usuario so tem 1 kbyte de quota e so pode ter 1 arquivo no sistema, entao em algum diretorio qualquer com permissao 700 (owner: root) crie um arquivo assim:
    dd if=/dev/zero of=ze.txt count=2
    e sete o como dono o usuario ze_mane, dessa forma ele mesmo que por um MILAGRE tenha acesso ao bash, ele nao vai poder criar ou copiar nenhum programa besta para teu servidor...
    eita, acho que exagerei....

  18. #38

    Padrão Ataque de scan no SSH

    Citação Postado originalmente por mario
    Bem, para quem nao acompanha as listas de segurança deve começar a faze-lo, o cert e a rnp já anunciaram esse ataque a muito tempo atraz venho sofrendo esse tipo de ataque a pelos menos uns 3 meses, mas até hoje ninquem conseguiu comprometer o sistema ate mesmo porque o sistema de força bruta hoje em dia é complicado de se conseguir acesso.

    Mas vai uma dica para todos, desative o suporte a root no ssh, assim se alguem conseguir comprometer seu sistema so fara acesso a uma simples conta de usuário.
    Mário, uma vez dentro do sistema, um atacante tem muito mais chances de conseguir se tornar root. Se quiser fazer o teste, libera uma conta de usuário ai pra não perdermos tempo com blábláblá. hehhehe
    Não leva a mal não, só estou comentando.

    hehe, nego copiou minhas palavras
    haha, eu estou trabalhando, nao li todas as paginas, li a primeira e o resto so passei por cima, e fui direto postar... agora que vi o que voce escreveu DropALL, desculpe hehe.

    Abraços

  19. #39

    Padrão Ataque de scan no SSH

    Amigos...eu tambem ando notando isso nos meus servidores, eu ate pensei que tinha algum daemon rodando...mas nao achei nada.... ate pensei que ja estava invadido. os ips sao da china, russia, coreia.