Invasão de Servidor

[pssgyn]

Pessoal do Underlinux, preciso de ajuda.
Tenho observado que o dia inteiro, e agora entrando no servidor da empresa, vejo pelo /var/log/message que tem n pessoas tentando acessar o nosso servidor. Dá sempre a mensagem de failed password user xxx port xxxx ssh2. Mas quando chego no trabalho, o servidor está sempre resetado. Ou seja, o servidor está sempre começando do zero.
Como faço para barrar isso ??? Vejo o /var/log/message e tem sempre alguém ou alguéns tentando entrar no nosso servidor. Já vi no lastlog e não tem ninguém. O que sugerem para monitar ??? Uso o Slackware 10.2. E não sei como resolver ......... Qualquer ajuda .......... Tenho firewall rodando, Squid ..............mas sinceramente estou perdidão mesmo .........
É sempre porta alta a tentativa no ssh .......... Mas a impressão que dá é que estão tentando, tentando, mas dá sempre failed .........mas o mais estranho é que o nosso servidor quando chego de manhã no trabalho está sempre resetado.
Qualquer dica galera ......... agradeço .......... :-o

[pssgyn]

E outra coisa ...... porque depois de n tentativas de usuários de fora, estou vendo agora na empresa, nesse momento é 01:25 da madrugada, aparece uma mensagem MARK, repetidas vezes ?
Estou nesse momento conectado via Putty no servidor e vendo isso.
O que faço pessoal do Underlinux ?
Estou perdidão mesmo ..............
Peço ajuda ........... :????

[alex_sorocaba]

camarada, por que não reve o seu firewall e coloque drop nesse ssh seu?
resetado é o que desligado? ou os serviços(daemons) foram reiniciados?
checa seu file system pra ver se não tem arquivos estranhos, veja conexões ativas nele.
Contra ataques mais avançado não indicaria mas como parece não está sendo bem feito esse ataque puxe o chkrootkit e teste o sistema pra ver se não tem alguma backdoor

[1c3m4n]

use isso aqui:
http://ossec.net/

se tiver algo de errado ele vai falar, e de quebra vc pode ativar a resposta ativa, bloqueando automaticamente esses brute force pelos hosts.deny ou pelo proprio iptables

[silviojunior]

como estão seus arquivos /etc/hosts.allow e /etc/hosts.deny?

vc pode diminuir negando tudo no hosts.deny:
ALL : ALL

e liberando o que realmente vai usar com um range menor no hosts.allow

ssh : 200. 201.

libera apenas o acesso ssh para os ips iniciados com 200.xxx.xxx.xxx e 201.xxx.xxx.xxx o restante ele nega.

senão vc vai ficar recebendo ataques de fora!!!

t+

[powed0wn]

Olá,

Mais ainda que isso, voce pode restringir o seu ssh, de modo à dificultar o acesso à alguem nao autorizado. Pelo jeito, voce pode estar sendo vitima do "ssh brute-force", a qual isso é normal hoje em dia...
Faça o seguinte:
Abra o seu arquivo de configuração do ssh:
# vi /etc/ssh/sshd_config

No primeiro bloco de configurações, deixe assim:

Port 2222
Protocol 2
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
AllowUsers seu_usuario

Onde, "seu_usuario" é o nome do usuario que tem acesso ao ssh.
Perceba que aceitamos somente o protocolo 2, visto que o 1 já teve alguns problemas... se analisar com mais atenção ainda, vera que a porta de conexao agora será "2222". =)

Em outro bloco, deixe como abaixo:

# Authentication:

#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
#MaxAuthTries 6

Perceba que o slackware vem como padrao "aceitar" conexões root, que alias acho isso extremamente ridiculo, mas... tudo bem.

Instale um hids (ossec, portsentry, snort, prelude ou algum outro), para que possa aumentar um pouquinho mais a segurança de sua box.... como já foi citado por posts de outros colegas, baixe o "chkrootkit" e verifique se há algum rootkit/backdoor instalado, permitindo à um invasor obter acesso à sua maquina de forma "silenciosa"...

Espero ter ajudado,

Rodrigo Martins

[pssgyn]

Galera, obrigado por todas as dicas. Vou seguir um a um o que foi comentado aqui. Só que para piorar a situação, o nosso servidor para internet, sofreu uma pane hoje. Deu um pique de energia daqueles (estamos sem no-break) e quando voltou, o hd simplesmente foi para o espaço. Dá o famigerado kernel panic. E de repente, pode até ter sido algo bom ter acontecido isso. Vai dar trabalho refazer tudo. Mas consegui pelo menos salvar alguns arquivos de configuração, tipo squid.conf, firewall, resolved.conf, hosts, rc.local. Dá para recomeçar. Já tenho outro hd e vou reinstalar tudo novamente. E aproveitando, vou tentar aplicar o que vocês me deram como dicas.
Obrigado a todos .... qualquer coisa eu volto a postar aqui ....
E ainda respondendo ao que o amigo abaixo escreveu, o servidor todos os dias de manhã, quando chego ao trabalho, ele está reiniciado. É como se alguém tivesse dado o comando reboot. Os nossos servidores trabalham 24 horas por dia e 7 dias na semana. Então quando saio do trabalho a noite, eu apenas dou o comando exit na console e desligo o monitor. Mas quando chego pela manhã e religo a console, tem umas mensagens que coloquei no rc.local para exibir o boot e elas estão lá na tela. Por isso, sei que o servidor foi de alguma forma reiniciado.
Um grande abraço a todos e que Deus os abençõe .... :-)