+ Responder ao Tópico



  1. #1
    capgaiotto
    Visitante

    Padrão Análise - Meu server está sofrendo com "Brute Force"!

    Olá Caros Amigos!

    Já fazem alguns dias que venho notando registrado no "messages" entradas de "negação de acesso" como estas:


    Apr 14 14:21:17 PROXYMC sshd[14033]: Failed password for illegal user anthony from 148.208.164.5 port 1733 ssh2
    Apr 14 14:21:19 PROXYMC sshd[14035]: Illegal user anthony from 148.208.164.5
    Apr 14 14:21:19 PROXYMC sshd[14035]: error: Could not get shadow information for NOUSER
    Apr 14 14:21:19 PROXYMC sshd[14035]: Failed password for illegal user anthony from 148.208.164.5 port 1812 ssh2
    Apr 14 14:21:21 PROXYMC sshd[14037]: Illegal user alberto from 148.208.164.5
    Apr 14 14:21:21 PROXYMC sshd[14037]: error: Could not get shadow information for NOUSER

    Apr 14 20:21:10 PROXYMC sshd[14154]: Failed password for root from 209.136.49.18 port 3884 ssh2
    Apr 14 20:21:14 PROXYMC sshd[14156]: Failed password for root from 209.136.49.18 port 4056 ssh2
    Apr 14 20:21:18 PROXYMC sshd[14158]: Failed password for root from 209.136.49.18 port 4244 ssh2
    Apr 14 20:21:22 PROXYMC sshd[14160]: Failed password for root from 209.136.49.18 port 4451 ssh2
    Apr 14 20:21:26 PROXYMC sshd[14162]: Failed password for root from 209.136.49.18 port 4643 ssh2


    Noto que existe uma sequencia de nomes que são usados como tentativas de acesso que começa em A e vai até Z e as tentativas normalmente duram o mesmo tempo.
    Bem, é provavel que o lammer utilize conexão com IP dinâmico, pois existe vários endereços de IP registrados.
    O inimigo está no meu nariz mas não tenho como reagir.



    Muito Obrigado amigos!

    Gaiotto

  2. #2
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão Re: Análise - Meu server está sofrendo com "Brute Force"!

    para minimizar o problema; mude a porta padrao do sshserver, libere IPs especificos q podem acessar seu ssh.

  3. #3

    Padrão Re: Análise - Meu server está sofrendo com "Brute Force"!

    usa o parâmetro allowusers no sshd_conf para liberar apenas para o seu usuário ou mais de um.