+ Responder ao Tópico



  1. #1

    Padrão Tentativas de Invasão !!

    Pessoal, constantemente estão tentando arrebentar meu SERVER sem sucesso mas mesmo assim teria alguma forma ou algum script pra dropar por definitivo o IP que está tentando acessar meu ssh ?
    Alguma dica ?
    Ou ate mesmo algo que eu possa retribuir tanta dedicação de um FDP.


    Jul 27 22:56:56 guarana sshd[19299]: Failed password for root from 218.12.174.4 port 59816 ssh2
    Jul 27 22:57:06 guarana sshd[19302]: Failed password for root from 218.12.174.4 port 34283 ssh2
    Jul 27 22:57:12 guarana sshd[19305]: Failed password for root from 218.12.174.4 port 36934 ssh2
    Jul 27 22:57:22 guarana sshd[19308]: Failed password for root from 218.12.174.4 port 39021 ssh2
    Jul 27 22:57:28 guarana sshd[19311]: Failed password for root from 218.12.174.4 port 41698 ssh2
    Jul 27 22:57:32 guarana sshd[19314]: Failed password for root from 218.12.174.4 port 43350 ssh2
    Jul 27 22:57:37 guarana sshd[19317]: Failed password for root from 218.12.174.4 port 44487 ssh2
    Jul 27 22:57:41 guarana sshd[19320]: Failed password for root from 218.12.174.4 port 45674 ssh2
    Jul 27 22:57:44 guarana sshd[19323]: Failed password for root from 218.12.174.4 port 46807 ssh2
    Jul 27 22:57:48 guarana sshd[19326]: Failed password for root from 218.12.174.4 port 47884 ssh2
    Jul 27 22:57:52 guarana sshd[19329]: Failed password for root from 218.12.174.4 port 49043 ssh2
    Jul 27 22:57:56 guarana sshd[19332]: Failed password for root from 218.12.174.4 port 50209 ssh2
    Jul 27 22:58:00 guarana sshd[19335]: Failed password for root from 218.12.174.4 port 51311 ssh2
    Jul 27 22:58:04 guarana sshd[19338]: Failed password for root from 218.12.174.4 port 53197 ssh2
    Jul 27 22:58:08 guarana sshd[19341]: Failed password for root from 218.12.174.4 port 54613 ssh2
    Jul 27 22:58:12 guarana sshd[19344]: Failed password for root from 218.12.174.4 port 57221 ssh2
    Jul 27 22:58:16 guarana sshd[19347]: Failed password for root from 218.12.174.4 port 59165 ssh2
    Jul 27 22:58:20 guarana sshd[19350]: Failed password for root from 218.12.174.4 port 32844 ssh2
    Jul 27 22:58:24 guarana sshd[19353]: Failed password for root from 218.12.174.4 port 34632 ssh2
    Jul 27 22:58:28 guarana sshd[19356]: Failed password for root from 218.12.174.4 port 36831 ssh2
    Jul 27 22:58:32 guarana sshd[19359]: Failed password for root from 218.12.174.4 port 38945 ssh2
    Jul 27 22:58:36 guarana sshd[19362]: Failed password for root from 218.12.174.4 port 41174 ssh2

  2. #2

    Padrão Re: Tentativas de Invasão !!

    Duas coisas. Primeiro mude a porta do SSH para outra que não seja a 22.

    Instala o ossec: https://under-linux.org/content/view/6126/59/

  3. #3

    Padrão Re: Tentativas de Invasão !!

    A porta do ssh ja ta alterada.
    Vou analisar esse ossec.
    Na sua opinião seria melhor o ossec ou o snort ?

    Valeu ai Tiger

  4. #4

    Padrão Re: Tentativas de Invasão !!

    Disponha.

  5. #5

    Padrão Re: Tentativas de Invasão !!

    spyderlinux, tenta uma regrinha assim no seu iptables manoww..

    Supondo que sua porta ssh esteja em 99


    iptables -A INPUT -p tcp 99 -s! 218.12.174.4 -j ACCEPT

    abraços manow


  6. #6

    Padrão Re: Tentativas de Invasão !!

    Nesta regra vc libera a porta 99 para todos menos o cara que tah te enviando?

    Isso não funciona pq esses caras usam sempre trocentos IPs.

    O ossec barra já quando eles tentam acessar.

  7. #7

    Padrão Re: Tentativas de Invasão !!

    Com certeza WhiteTiger, porem achei que era um caso especifico desse ip.



    Mas é isso ai, e pensando melhor, nem especifica a porta.

    iptables -A INPUT -s 218.12.174.4 -j DROP


    Abraços

  8. #8

    Padrão Re: Tentativas de Invasão !!

    O ideal é que vc mude a porta, bloqueie todo acesso por ssh para rede externa e libere para a rede iterna apenas os mac das máquinas que precisam.

  9. #9

    Padrão Re: Tentativas de Invasão !!

    Citação Postado originalmente por spyderlinux
    A porta do ssh ja ta alterada.
    Vou analisar esse ossec.
    Na sua opinião seria melhor o ossec ou o snort ?

    Valeu ai Tiger
    usa os 2 juntos...... o ossec le os logs do snort mto bem
    se bem que pra essa merdinha de bruteforce soh o ossec da conta com os 2 pes nas costas

  10. #10

    Padrão Re: Tentativas de Invasão !!

    Como eu libero internamente pra determinados MACs? O que eu tenho que usar? Tb estou com esse problemas.

  11. #11

    Padrão Re: Tentativas de Invasão !!

    Citação Postado originalmente por samuelstj
    Como eu libero internamente pra determinados MACs? O que eu tenho que usar? Tb estou com esse problemas.
    Você se refere ao SSH ?


    /usr/sbin/iptables -t filter -A FORWARD -m mac -mac-source 00:60:08:91:CC:B9 -p tcp --dport ssh -j ACCEPT

    Isso supondo que seja um Mac apenas.

    Acredito que assim funcione.
    Obs: Não informei regra para INPUT como DROP pelo fato que sua POLITICA deve estar como DROP para a entrada, sendo assim, num precisa.

  12. #12

    Padrão Re: Tentativas de Invasão !!

    Kra eu fiz um esqueminha basico do snort, pega ele ai e da uma analizada talvez te seja util...

    http://www.tftecnologia.com.br/ids.zip

  13. #13

    Padrão Re: Tentativas de Invasão !!

    aí faz o seguinte... habilita no teu ssh a opçao de nao aceitar login como root. Cria um usuário sem privilégios e defina que apenas esse usuário terá acesso no SSH colocando a seguinte regra no sshd_config: AllowUsers nomedousuario
    Depois faz a seguinte:

    Digamos q vc use o ip 200.200.100.100 para acesso SSH externo e a porta seja a 2222:

    iptables -A INPUT -p tcp -s 200.200.100.100/26 --dport 3022 -j ACCEPT
    iptables -A INPUT -p tcp -i eth0 --dport 2222 -j REJECT

    Com essa regra vc libera acesso SSH vindo de fora apenas para esse ip...
    é uma boa vc fazer isso