+ Responder ao Tópico



  1. #1

    Padrão Acho que tao tendando inadir minha rede! me ajudem por favor!!

    Ola galera tem oercebido que de um tempo pra ca meu link tem ficado muito acima da meidia (no talo), entao começei a monitorar e estou vendo uma msg assim:


    "system error critical login failure for user dany from 78.83.108.82 via ftp"

    como posso fazer para bloquear esse possivel ataque?

    ja rodei algumas regras mais se vcs souberem de mais alguma coisa por favor postem aii

  2. #2
    Avatar de luandotto
    Ingresso
    Jul 2011
    Localização
    Brumado- Bahia
    Posts
    133
    Posts de Blog
    7

    Padrão Re: Acho que tao tendando inadir minha rede! me ajudem por favor!!

    Regras para bloquear ataques.

    # Protecoes contra ataques
    iptables -A INPUT -m state --state INVALID -j DROP

    # Bloqueando uma maquina pelo endereco MAC
    iptables -A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP


    # Protecao contra Syn-floods
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

    # Protecao contra port scanners ocultos
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    # Bloqueando pacotes fragmentados
    iptables -A INPUT -i INTEXT -m unclean -j log_unclean
    iptables -A INPUT -f -i INTEXT -j log_fragment

    E por fim para bloquear o ip que voce citou (bloqueio pelas portas 80-internet, 20 e 21-FTP)

    iptables -t nat -I PREROUTING -p tcp -d 78.83.108.82/32 --dport 80 -j DROP
    iptables -I FORWARD -p tcp -d 78.83.108.82/32 --dport 80 -j DROP
    iptables -t nat -I PREROUTING -p tcp -d 78.83.108.82/32 --dport 20 -j DROP
    iptables -I FORWARD -p tcp -d 78.83.108.82/32 --dport 20 -j DROP
    iptables -t nat -I PREROUTING -p tcp -d 78.83.108.82/32 --dport 21 -j DROP
    iptables -I FORWARD -p tcp -d 78.83.108.82/32 --dport 21 -j DROP

    Boa sorte

  3. #3

    Padrão Re: Acho que tao tendando inadir minha rede! me ajudem por favor!!

    Contra ataque bruteforce

    /ip firewall filter

    add chain=input protocol=tcp dst-port=8291 connection-limit=2,32 connection-state=established action=add-src-to-address-list address-list="drop winbox" address-list-timeout=12h comment="" disabled=no

    add chain=input protocol=tcp dst-port=80 connection-limit=2,32 connection-state=established action=add-src-to-address-list address-list="drop winbox" address-list-timeout=12h comment="" disabled=no

    add chain=input src-address-list="drop winbox" action=drop comment="" disabled=no

    tmb fechar as portas que nao usa, e usar tecnica toc toc caso vc acessar winbox estando fora da sua rede.

  4. #4

    Padrão Re: Acho que tao tendando inadir minha rede! me ajudem por favor!!

    Caro Leoservice:
    Poderia explicar melhor para nós leigos o que cada uma dessas regras faz?
    Obrigado.

  5. #5
    Analista de Suporte em TI Avatar de demattos
    Ingresso
    Jul 2011
    Localização
    Criciuma/SC
    Posts
    1.923
    Posts de Blog
    3

    Padrão Re: Acho que tao tendando inadir minha rede! me ajudem por favor!!

    Uma pergunta qual o sistema operacional, vc tem usado para que o ftp na sua maquina pelo q vi pela mensagem estao usando um programa de tentativa de conexao a sua porta do ftp, isto ocorre tambem na ssh pode ver que esta assim tambem uma saida e vc trocar as portas por outras portas exemplo a porta ssh=22 usa a 2222 o ftp=21 faz ele escultar na 2120, assim estes programas usados nao acham mais a porta padrao, eu tive isto na meu servidor e troquei as portas e nunca mais ouve estas mensagens

  6. #6

    Padrão Re: Acho que tao tendando inadir minha rede! me ajudem por favor!!

    Citação Postado originalmente por leoservice Ver Post
    Contra ataque bruteforce

    /ip firewall filter

    add chain=input protocol=tcp dst-port=8291 connection-limit=2,32 connection-state=established action=add-src-to-address-list address-list="drop winbox" address-list-timeout=12h comment="" disabled=no
    ** Tudo que vier para o Roteador "Input" destino porta 8291, tera 2 chances para entrar, se errar a senha 2 vezes o IP do camarada entrará uma addresslist chamada drop winbox com por 12 horas comment="se errar senha por 2 x entra black list"

    add chain=input protocol=tcp dst-port=80 connection-limit=2,32 connection-state=established action=add-src-to-address-list address-list="drop winbox" address-list-timeout=12h comment="" disabled=no

    **Tudo que o destino for o roteador com destino a porta 80 mesma coisa da de cima
    add chain=input src-address-list="drop winbox" action=drop comment="" disabled=no

    ** aqui tudo que vier para roteador que o IP esteja na lista drop winbox Dropa..

    tmb fechar as portas que nao usa, e usar tecnica toc toc caso vc acessar winbox e
    stando fora da sua rede.

  7. #7

    Padrão Re: Acho que tao tendando inadir minha rede! me ajudem por favor!!

    Citação Postado originalmente por leoservice Ver Post
    ** Tudo que vier para o Roteador "Input" destino porta 8291, tera 2 chances para entrar, se errar a senha 2 vezes o IP do camarada entrará uma addresslist chamada drop winbox com por 12 horas comment="se errar senha por 2 x entra black list"

    add chain=input protocol=tcp dst-port=80 connection-limit=2,32 connection-state=established action=add-src-to-address-list address-list="drop winbox" address-list-timeout=12h comment="" disabled=no

    **Tudo que o destino for o roteador com destino a porta 80 mesma coisa da de cima
    add chain=input src-address-list="drop winbox" action=drop comment="" disabled=no

    ** aqui tudo que vier para roteador que o IP esteja na lista drop winbox Dropa..

    tmb fechar as portas que nao usa, e usar tecnica toc toc caso vc acessar winbox e
    stando fora da sua rede.
    Boa noite, testei essa regra que seria uma boa aqui no meu caso, mais não bloqueou após eu tentar 3x com a senha errada, dai tentei com a certa e ele entrou normal... que no caso era para bloquear... Têm algum macete?