+ Responder ao Tópico



  1. #1

    Padrão Ataque Brute Force

    Tenho analisado meus logs ultimamente e percebi que todos os dias estou sendo alvo de ataques Brute force de vários IPs.... gostariad e saber se eu não sou o único....

    Código :
    sshd:
       Authentication Failures:
          unknown (200.129.178.33): 441 Time(s)
          andre (200.129.178.33): 10 Time(s)
          mailman (200.129.178.33): 10 Time(s)
          root (210.205.6.63): 8 Time(s)
          squid (200.129.178.33): 6 Time(s)
          nobody (200.129.178.33): 3 Time(s)
          root (201008166141.user.veloxzone.com.br): 1 Time(s)
          unknown (201008166141.user.veloxzone.com.br): 1 Time(s)
       Invalid Users:
          Unknown Account: 442 Time(s)

    Código :
    Failed logins from these:
       andre/password from 200.129.178.33: 10 Time(s)
       mailman/password from 200.129.178.33: 10 Time(s)
       nobody/password from 200.129.178.33: 3 Time(s)
       root/password from 201.8.166.141: 1 Time(s)
       root/password from 210.205.6.63: 8 Time(s)
       squid/password from 200.129.178.33: 6 Time(s)
     
    **Unmatched Entries**
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38207 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38256 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38306 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38367 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38413 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38486 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38535 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38583 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38634 ssh2
    Invalid user diretoria from 200.129.178.33
    Failed password for invalid user diretoria from 200.129.178.33 port 38681 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 38765 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 38853 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 38910 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 38951 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 39005 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 39051 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 39111 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 39155 ssh2
    Invalid user diretor from 200.129.178.33
    Failed password for invalid user diretor from 200.129.178.33 port 39298 ssh2
    Invalid user lucas from 200.129.178.33
    Failed password for invalid user lucas from 200.129.178.33 port 46338 ssh2
    Invalid user lucas from 200.129.178.33
    Failed password for invalid user lucas from 200.129.178.33 port 46386 ssh2
    Invalid user lucas from 200.129.178.33
    Failed password for invalid user lucas from 200.129.178.33 port 46465 ssh2
    Invalid user mauricio from 200.129.178.33
    Invalid user lucas from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 46464 ssh2
    Failed password for invalid user lucas from 200.129.178.33 port 46509 ssh2
    Invalid user mauricio from 200.129.178.33
    Invalid user lucas from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 46544 ssh2
    Failed password for invalid user lucas from 200.129.178.33 port 46556 ssh2
    Invalid user mauricio from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 46594 ssh2
    Invalid user mauricio from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 46672 ssh2
    Invalid user mauricio from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 46756 ssh2
    Invalid user mauricio from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 46835 ssh2
    Invalid user mauricio from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 46875 ssh2
    Invalid user mauricio from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 46997 ssh2
    Invalid user mauricio from 200.129.178.33
    Failed password for invalid user mauricio from 200.129.178.33 port 47053 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47264 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47311 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47403 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47493 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47548 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47596 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47643 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47687 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47729 ssh2
    Invalid user edilson from 200.129.178.33
    Failed password for invalid user edilson from 200.129.178.33 port 47795 ssh2
    Invalid user edson from 200.129.178.33
    Failed password for invalid user edson from 200.129.178.33 port 47851 ssh2
    Invalid user edson from 200.129.178.33
    Invalid user jorge from 200.129.178.33
    Failed password for invalid user edson from 200.129.178.33 port 47905 ssh2
    Failed password for invalid user jorge from 200.129.178.33 port 47886 ssh2

    percebam que as portas vão subindo, ou seja, um script que ta fazendo issu.... o estranho que tem IP até do japão...estes logs são apenas de hj...
    a lista de hj e 5 vezes maior do que esta que postei...

  2. #2

    Padrão Ataque Brute Force

    Se serve de consolo na minha maquina tb ta acontecendo isso diariamente, varias vezes ao dia

    com ctz isso eh um script sim, mas as portas q vc falou q vao subindo sao as portas de origem, isso eh normal, cada nova conexao q ele fizer ele vai pegar uma porta, ecomo isso aparenta ser um script em loop com um dicionario de logins as portas parecem ser seguidas

    o negocio eh botar um snort+guardian pra bloquear isso

  3. #3
    Fabio_Laé
    Visitante

    Padrão Ataque Brute Force

    Uma dica para amenizar o seu transtorno(mas não resolver) é colocar o seu servidor ssh para escutar em outra porta diferente da padrão.

    Melhor ainda se implementar honeypots no seu servidor dificultando ainda mais a identificação da sua porta e serviço real.

    E não se esqueça é claro de reforçar as senhas (principalmente de usuários comuns(se houver)).

    Boa Sorte,

    Fabio Laé

  4. #4
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão Ataque Brute Force

    Citação Postado originalmente por Fabio_Laé
    Uma dica para amenizar o seu transtorno(mas não resolver) é colocar o seu servidor ssh para escutar em outra porta diferente da padrão.

    Melhor ainda se implementar honeypots no seu servidor dificultando ainda mais a identificação da sua porta e serviço real.

    E não se esqueça é claro de reforçar as senhas (principalmente de usuários comuns(se houver)).

    Boa Sorte,

    Fabio Laé
    Aqui fiz isso; mudei a porta padrao do ssh, alem disso o snort+guardian tah rodando... tah limpinho meu log agora...

  5. #5

    Padrão Ataque Brute Force

    sobe sua porta...

    faz uns 8 meses, des de que encontrei isso aqui, que subi minha porta ssh:

    http://www.frsirt.com/exploits/08202004.brutessh2.c.php

    Admin's caso seja necessario, podem retirar o link sem problemas.

  6. #6

    Padrão Ataque Brute Force

    esse script ai num serve pra nada a num ser enxer o saco,
    alias mudar a porta num muda muita coisa tb, pq se o cara conseguir passar um portscan na tua maquina e ver q tem outra porta aberta ele vai no script e altera a porta de conexao tb...

  7. #7

    Padrão Ataque Brute Force

    Sim, porem evita de você ser apenas mais um ip com a porta default....

    ops:

  8. #8

    Padrão Ataque Brute Force

    Bom, snort+guardian funciona muito bem, pena que o script do guardian nãot em sido atualizado desde 2003 ....

    mudar a porta só ira resolver para estes scripts que ficam fazendo brute force... o básico mesmo e tomar cuidado com senhas, nada de root na porta do ssh e estar semrpe atualizado...

  9. #9

    Padrão Ataque Brute Force

    A sei lah, isso eh meio de gosto, prefiro bloquear indevidamente alguem q tentou acessar meu server do q toda hora q eu for conectar no meu server ter q ficar especificando outra porta :P
    Problema do otario q tentou brute-force 6)

  10. #10

    Padrão Ataque Brute Force

    HUAHUAHUAUHAUHhuahuaahu
    Tá certo.

  11. #11

    Padrão Ataque Brute Force

    Ae povo, jah q o guardian ta meio paradu, achei esse treco aki pra substituir ele: vo testar aki no obsd pra ver se eh bom mesmo :P

    http://www.snortsam.net/index.html

  12. #12

    Padrão Ataque Brute Force

    Eu tava pensando em começar com o guardian mas acho que ja vou começar com esse snortsam, vlw ae e falows

  13. #13
    Lion_Black
    Visitante

    Padrão Ataque Brute Force

    Uma ideia muito basica que não sei se vc colocou ...

    nao permita login de root direto no ssh ... configure o ssh para permitir apenas login de users normais e configure esse user para apenas poder usar o comando su!

    isso dificulta muito a invasão pelo ssh!

    e altere regularmente a senha desse user normal... eu ach oque com esse simples procedimento vc diminui muito as chances de um ataque por essa porta, ainda mais pq vc disse que esta acontecendo ataques de brutal!

  14. #14

    Padrão Ataque Brute Force

    Pessoal,

    Eu ja havia reportado este problema em algum post anterior a alguns meses. Meu FW sofre varios ataque diariamente. Uma coisa q eu fiz que ja ajuda bastante eh so permitir login remoto aos usuarios q realmente precisam, so isso ja evita e algume invada a maquina com algum usuario admistrativo. Pelo que pude reparar a maioria dos ataques sao de ip da asia e tb a maioria usa um softwares chamados Brutus ou Cain.

    Outra coisa eu coloquei uns haneypots tb ta funcionando bem, so na tive tempo de colocar o snort.

    [] Dotta :twisted:

  15. #15
    pilantrox
    Visitante

    Padrão Ataque Brute Force

    eu tbm estava sofrendo esse tipo de ataque diariamente ,,, agora estou analizando meus logs ,,, desde o dia onde modifiquei o arquivo hosts.denny e hosts.allow liberando o acesso aos servers aos ips que realmente precisam,naum tive mais nem vestigio nos logs.