Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Aquini
    Visitante

    Padrão Ataque de scan no SSH

    Boa tarde companheiros...

    Venho por meio desta, alertar (ou pelo menos tentar) aos usuários sobre uma atividade que venho observando em alguns dos meus servers desde o final de setembro.
    Comecei a perceber uma quantidade enorme de tentativas de logins via SSH em dois servidores que administro, vindos de endereços distintos dos quatro cantos do globo. (tentativas tão obstinadas que chegavam a sobrecarregar os hosts, degradando a suas performances durante os ataques)
    Embora (aparentemente) nenhuma das tentativas tenha logrado êxito, geraram uma enorme dor de cabeça, prejudicando vários usuários dos serviços daqueles hosts.
    É óbvio que reforcei meu perímetro, incrementanto regras no snort, restringindo mais as políticas de logins nos servers, analisando os reports do tripware (atitudes reativas normais) e é claro, tentei descobrir por alto de onde partiam tais ataques... Eis a minha lista:
    [list]64.29.19.145 - nerjaweb - Espanha
    61.237.240.19 - China RailWay Telecomm - Pequim
    61.221.182.173 - unalis.com.tw
    61.100.185.202 - GNC-IDC Enterprisenet - SEOUL - KOREA
    212.14.253.236 - Palestine Telecomm - Palestina
    203.95.1.22 - STN-CN - Shangai - China
    64.109.111.229 - ameritech.net - dsl ISP - USA
    66.88.13.142 - unknow address[/list:u]

    China, Korea, Taywan, USA, Espanha, Palestina... todos de provedores dsl, ou de grandes corporações...

    Verifiquem também seus hosts...

    vejam um extrato dos meus logs:
    Código :
    Sep 28 18:10:15 abutre sshd[3222]: Illegal user test from 61.221.182.173
    Sep 28 18:10:18 abutre sshd[3224]: Illegal user guest from 61.221.182.173
    Sep 28 18:10:25 abutre sshd[3226]: Illegal user admin from 61.221.182.173
    Sep 28 18:10:28 abutre sshd[3228]: Illegal user admin from 61.221.182.173
    Sep 28 18:10:31 abutre sshd[3230]: Illegal user user from 61.221.182.173
    Sep 28 18:10:37 abutre sshd[3232]: Failed password for root from 61.221.182.173 port 61255 ssh2
    Sep 28 18:10:42 abutre sshd[3234]: Failed password for root from 61.221.182.173 port 60059 ssh2
    Sep 28 18:10:51 abutre sshd[3236]: Failed password for root from 61.221.182.173 port 57343 ssh2

    T+

  2. #2

    Padrão Ataque de scan no SSH

    Cara estou tendo e mesmo problema

    user: test,tester,nini, brooke,bill,jim,cody,sales,personal,billy,josh,life
    origens: korea, czechoslovakia, china, brasil...
    alguns ip: 128.30.92.49, 203.193.14.26,63.105.206.197

    o ip 128.30.92.49 é do MIT (viper.csail.mit.edu)

    To comecando a ficar preocupando... Vc tem alguma ideio o q é isso???

    [] Dotta :twisted:

  3. #3
    epf
    Visitante

    Padrão Ataque de scan no SSH

    como que eu faco para ver esses logs de tentativas de conexao?

  4. #4
    Visitante

    Padrão Ataque de scan no SSH

    tail -f /var/log/messages | grep sshd

  5. #5

    Padrão Ataque de scan no SSH

    Pessoal, vou dar um chute.

    Como podem notar os caras tentaram vários usernames pra tentarem entrar, o que pode ser um ataque de Brute Force, feito por algum software que pega uma lista de caracteres, números e letras e vai tentando logar uma a uma até conseguir descobrir a correta.

  6. #6
    slice
    Visitante

    Padrão Ataque de scan no SSH

    Citação Postado originalmente por epf
    como que eu faco para ver esses logs de tentativas de conexao?
    cat /var/log/messages

    e se quiser ficar vendo em 'real time' o que está acontecendo, use tail -f /var/log/messages | grep ssh

    vc também pode usar isso para ver outras coisas, basta mudar o parametro ssh...

    flw!

    Slice

  7. #7

    Padrão Ataque de scan no SSH

    epf,

    na verdade era melhor vc olhar o arquivo secure em vez do message...

    [] Dotta :twisted:

  8. #8

    Padrão Ataque de scan no SSH

    Realmente parece ateque tipo forca bruta... nos ultimos 7 dias sofri umas 500 tentativas. Alguen sabe como fazer o sshd colocar no log as senhas que estao sendo utilizadas para este ataques isso seria bastante util...

    [] Dotta :twisted:

  9. #9

    Padrão Ataque de scan no SSH

    alguem sabe tb como colocar uma lista de usuarios proibidos no sshd???

    [] Dotta :twisted:

  10. #10
    slice
    Visitante

    Padrão Ataque de scan no SSH

    Citação Postado originalmente por fdotta
    epf,

    na verdade era melhor vc olhar o arquivo secure em vez do message...

    [] Dotta :twisted:
    ei, tentei várias conexões via ssh (erradas é claro) no meu pc, mas ele não acusou nada no arquivo /var/log/secure... ele só mostra as conexões diretas no terminal, seja ela user ou su... também mostra os users que são criados no sistema...

    tenho que configurar alguma coisa para ele mostrar isso???


    []'s

    Slice

  11. #11
    Visitante

    Padrão Ataque de scan no SSH

    usem o portsentry para analizar algumas portas, inclusive a 22, caso o atacante tente uma vez, na proxima ele nao vai conseguir pois o portsentry ira bloquea-lo.

  12. #12

    Padrão Ataque de scan no SSH

    slice,

    para vc ter o log vc deve colocar no seu sshd_conf as linhas:

    SyslogFacility AUTHPRIV
    LogLevel VERBOSE

    o VERBOSE é mo mais simple do logs do sshd, vc pode user DEBUG1, DEBUG2, DEBUG3, QUIET, FATAL, ERROR, INFO

    [] Dotta :twisted:

  13. #13
    Aquini
    Visitante

    Padrão Ataque de scan no SSH

    Com certeza é um scan que testa usuários padrão, e por força bruta tenta acertar as senhas...

    para garantir que o sshd não permita que outras contas do sistema possam efetuar login, adicionem uma lista de usuários que poderão logar no host através da diretiva AllowUsers <user1 user2 ... userN> no arquivo de conf do daemon (/etc/ssh/sshd_config)

    O pepino fica por conta de estes lammers estarem praticamente gerando um DDoS nos servers... daí só se resolve com o portsentry ou snort+guardian, ou simplesmente criar uma chain no iptables e dropar todos os IP que atacarem...

    É dose, hein...

    T+

  14. #14
    Aquini
    Visitante

    Padrão Ataque de scan no SSH

    Além de medidas pró-ativas, e talvez reativas, também devemos informar (ou pelo menos tentar) os responsáveis por tais redes, para que eles possam tomar medidas legais nos seus respectivos países...

    T+

  15. #15

    Padrão Ataque de scan no SSH

    Tenho o codigo desse brute force.


    Cuidado, ele realmente funciona, porem depende de uma lista de user e senhas....

    sux alot.

    script kids na area.
    fica ligado e mude sua senha para algo em torno de 8 caracteres.

    Abracos


    MAJOR
    :wink:

  16. #16

    Padrão Ataque de scan no SSH

    Aquini, naõ existem meios legais para acusar tal ato.


    =[


    Nosso pais tem que criar ou mesmo rever Leis para a internet.

    Este caso seria a mesma coisa que alguem tentando abrir a fechadura desua sala no escritorio, enquanto ele nao conseguir entrar, nao temmuito oq ser feito, a nao ser "trocar" a fechadura.


    abracos

  17. #17
    Aquini
    Visitante

    Padrão Ataque de scan no SSH

    Citação Postado originalmente por MAJOR
    Aquini, naõ existem meios legais para acusar tal ato.


    =[


    Nosso pais tem que criar ou mesmo rever Leis para a internet.

    Este caso seria a mesma coisa que alguem tentando abrir a fechadura desua sala no escritorio, enquanto ele nao conseguir entrar, nao temmuito oq ser feito, a nao ser "trocar" a fechadura.


    abracos
    Aqui no BR não tem mesmo, e se por exemplo tentássemos levar um caso similar à nossas autoridades com certeza não poderiam fazer muita coisa por motivos diplomáticos que estão fora da nossa alçada...

    Mas em vários países já existem legislações específicas para "contravenções digitais" e também as grandes empresas e ISPs têm políticas bem rígidas, de forma que podem impor punições aos usuários que estiverem "abusando" de seus recursos.

    É óbvio que não pode ser feito "muita coisa" mas se cada um de nós executar um pequenino esforço, no final da conta teremos uma enorme "força bruta"

    Blz!!

    []s

  18. #18
    slice
    Visitante

    Padrão Ataque de scan no SSH

    valeu Dotta!

    no meu server (Debian) o arquivo que ele manda os log's do sshd é /var/log/auth.log por isso que eu não estava achando

    no slack são o /var/log/secure e no /var/log/messages msm...

    flw

  19. #19
    Aquini
    Visitante

    Padrão Ataque de scan no SSH

    Boa noite companheiros....

    Existe mais uma configuração, que minimiza os efeitos destes ataques...
    Setando a diretiva "VerifyReverseMapping" para "yes" no arquivo de conf do daemon do ssh (/etc/ssh/sshd_config) ativamos o suporte para o TCP Wrappers (tcpd), com isso podemos filtrar os hosts que terão acesso ao servidor através dos arquivos /etc/hosts.allow e /etc/hosts.deny

    Com certeza este passo pode não acabar de vez com os ataques, mas reduz consideravelmente o universo de possíveis ...

    T+

  20. #20
    barata_branca
    Visitante

    Padrão Ataque de scan no SSH

    kramba.. se depender de senhas eu to bem.. huahuauuaua... a minha minima tem 21 caracteres... eu tinha uma que era assim : "sabe,euseiqueopansexualismoealgoridiculomasoviciopelopcmedeixalouco"
    uhahauauhahuauhah
    FLW!!!