+ Responder ao Tópico



  1. #1

    Padrão tentativas de login ssh

    Pessoal,

    Meu servidor está sendo bombardeado por tentativas de login via ssh vindas de um número IP da internet.
    Gostaria da opinião dos mestres no assunto para saber qual medida devo tomar. O problema é q está derrubando meu link ADSL.

    Obrigado!


    Valois

  2. #2
    ttjedi
    Visitante

    Padrão Re: tentativas de login ssh

    tente usar outro terminal para entrar no ssh ... entre nele com o seguinte comando

    #ssh ip_do_server -l root

    se nao der tente:

    #ssh -X -C -p 22 -l root ip_do_server; sleep 5

    ve ai se dar!!! valew!!!

  3. #3

    Padrão Re: tentativas de login ssh

    Tyago,

    Não entendi.
    #ssh ip_do_server -l root
    o ip_do server é o IP do cara q tá tentando me acessar?

    Se for, ele abre o ssh e pede a senha do root.

    Favor ser mais claro e obrigado pela ajuda!


    Valois

  4. #4

    Padrão Re: tentativas de login ssh

    Colega esse bombardeio de logins é feito por bots que estão instalados em maquinas comprometidas difundidas pela internet, sao autenticos exercitos de bots quando descobrem um login válido, a maquina na qual a autenticação foi feita com sucesso, passa a pertencer a esse exercito, xegam a ser milhares que posteriormente podem ser usadas para ataques DDoS e companhia..
    se voce precisa de acessar o seu servidor pela internet, sugiro que vc instale um programa chamado "sshdfilter" ele trata do assunto
    caso vc utilize apenas o ssh atraves da rede interna
    utilize o iptables para bloquear o trafego vindo do link ADSL direito á porta do ssh (22)

    iptables -A INPUT -p tcp -i eth0 --dport 22 -j DROP

    troque a eth0 pela interface que tem o link ADSL
    Um abraço[][]

  5. #5

    Padrão Re: tentativas de login ssh

    Hum!

    Endendi. Eu costumo acessar meu servidor via internet como Putty.
    Tem algum problema?


    Valew!

  6. #6

    Padrão Re: tentativas de login ssh

    Então sugiro vc a instalar o tal programa chamado "sshdfilter"
    ele vai bloquear os IP's que tenham tido uma autenticação falhada no sshd
    e aconselho vc tb a desabilitar o login root via ssh, tal como escolher boas passwords...
    com isso, a coisa fica complicada para o lado negro
    Um abraço[]

  7. #7

    Padrão Re: tentativas de login ssh

    Kra pode começar mudando a porta do ssh e bloqueando o acesso de root:

    Mude essas linas em /etc/ssh/sshd_config
    Port 2733 #Exemplo de porta, em vez da porta 22 vai ser a q vc definiu agora
    PermitRootLogin no

    Dessa maneira qd vc for logar no ssh, vc deve mudar a porta e logar com um usuario limitado e depois o usuario root.

    Outra coisa interessante tb e vc instalar um IDS, eu fiz um esqueminha basico com o snort:
    http://www.tftecnologia.com.br/ids.zip

  8. #8

    Padrão Re: tentativas de login ssh

    eai, kra primeira coisa... vai no /etc/ssh/ edita o sshd_config e altera a porta de acesso para ssh.
    depois, no mesmo arquivo... no final tem a linha:
    "PermiRootLogin yes"
    crie um usuário qualquer, apenas para ter acesso ssh, vá nessa linha e modifique de yes para no. E na linha abaixo onde seta a porta do ssh vc insere:
    AllowUsers USUARIO-QUE-VOCE-ACABOU-DE-CRIAR
    entedeu??

  9. #9
    geofesteiro
    Visitante

    Padrão Re: tentativas de login ssh

    tipo outra coisa tu ja coloco algum tipo de seguranca pro ssh como ele pedi uma contra senha
    tipo se se num coloco ai vai uma dica okk
    edite o arquivo vi .bash_profile
    e coloque estas linhas
    ./eu.sh
    if [ -e sou_eu.txt ] ; then
    echo "Acesso Autorizado Obrigado "
    rm -f sou_eu.txt
    else
    echo "Acesso Negado Tente Novamente"
    logout
    fi
    e crie o arquivo eu.sh e coloque estas linhas
    #!/bin/bash
    echo "Contra Senha ??"
    read resp
    if [ "$resp" == "senha" ]; then
    touch sou_eu.txt
    fi
    que ja da uma ajudinha no ssh que ai tipo pra uma pessoa quebra a sua senha pode ate se que ocorra + uma contra senha se coloca uma coisa nada a ve tipo qualquer coisa mesmo
    ok
    espero ter ajudado flowww

  10. #10
    Apolux
    Visitante

    Padrão Bloqueie o ip do cara

    Essa regra bloqueia todos pacotes o ip que esta tentado acessar seu ssh

    iptables -A INPUT -p tcp -s <ip_do_cara> --dport 22 -j DROP
    Essa regra bloqueia só a porta 22 (ssh)


    iptables -A INPUT -p tcp -s <IP_DO_CARA> -j DROP
    Essa bloqueia todos pacotes deste ip


    faça um script, e ponha pra dar boot na inicialização

  11. #11

    Padrão

    uma medida simples q evita o ataque dos bots pelo ssh é trocar a porta de conexão,,eu jah sofri tb esse tipo de ataque ,troquei a porta do ssh e mudei o usuário de conexão,misturando letras e numeros,e me livrei(destes pelo menos)

    eu uso uma porta alta,a 2201 ..

  12. #12