Re: Tentativas de invasão
Marcos. Eu uso o DenyHosts que é um script feito em AWK, que barra os IP's que tentam Brute Force por SSH. http://denyhosts.sourceforge.net É bem simples de utilizar. Mas se vc não precisar deixar a porta do SSH para acesso externo, seria melhor colocar uma regra bloqueando. Abs, On 4/17/06, Marcos Vinicius Lazarini [EMAIL PROTECTED] wrote: Jésus R. wrote: Pessoal, tenho um FIREWALL configurado aqui na empresa para barrar os acessos ao serviço ssh fora da minha rede interna. Mas de alguma forma alguém conseguiu chegar a porta do meu servidor. Alguém já passou por este problema ? Sabe como conseguiram acessar o serviço ? O Log gerado pelo ssh é o seguinte: Apr 13 23:36:58 localhost sshd[22174]: Did not receive identification string from :::125.241.3.121 Apr 13 23:52:45 localhost sshd[22299]: Illegal user test from :::125.241.3.121 Apr 13 23:52:48 localhost sshd[22305]: Illegal user test from :::125.241.3.121 Apr 13 23:52:51 localhost sshd[22330]: Illegal user test from :::125.241.3.121 Bom, das duas uma: ou é alguem de dentro com um IP fabricado (spoofing) ou então vc não tá bloqueando as conexões vindas de fora... Também pode ser um port-forward, mas diria que é mais remoto... Tenta fazer um portscan por esses sites pela internet (grc.com symantec mcaffe etc) e veja se aparece alguma coisa. -- Marcos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- _ °v° Sérgio Lopes- Analista de Sistema /(_)\ São Paulo - SP - BRAZIL ^ ^ Linux user number 373166
Re: Tentativas de invasão
Não foi eu quem fez a pergunta, mas essa solução do denyhosts é bem interessante. Particularmente, apenas mudando a porta do SSH que fica disponível pro mundo me ajudou mito. -- Marcos Sergio Lopes wrote: Marcos. Eu uso o DenyHosts que é um script feito em AWK, que barra os IP's que tentam Brute Force por SSH. http://denyhosts.sourceforge.net É bem simples de utilizar. Mas se vc não precisar deixar a porta do SSH para acesso externo, seria melhor colocar uma regra bloqueando. Abs, On 4/17/06, Marcos Vinicius Lazarini [EMAIL PROTECTED] wrote: Jésus R. wrote: Pessoal, tenho um FIREWALL configurado aqui na empresa para barrar os acessos ao serviço ssh fora da minha rede interna. Mas de alguma forma alguém conseguiu chegar a porta do meu servidor. Alguém já passou por este problema ? Sabe como conseguiram acessar o serviço ? O Log gerado pelo ssh é o seguinte: Apr 13 23:36:58 localhost sshd[22174]: Did not receive identification string from :::125.241.3.121 Apr 13 23:52:45 localhost sshd[22299]: Illegal user test from :::125.241.3.121 Apr 13 23:52:48 localhost sshd[22305]: Illegal user test from :::125.241.3.121 Apr 13 23:52:51 localhost sshd[22330]: Illegal user test from :::125.241.3.121 Bom, das duas uma: ou é alguem de dentro com um IP fabricado (spoofing) ou então vc não tá bloqueando as conexões vindas de fora... Também pode ser um port-forward, mas diria que é mais remoto... Tenta fazer um portscan por esses sites pela internet (grc.com symantec mcaffe etc) e veja se aparece alguma coisa. -- Marcos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- _ °v° Sérgio Lopes- Analista de Sistema /(_)\ São Paulo - SP - BRAZIL ^ ^ Linux user number 373166 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Tentativas de invasão
Jésus R. wrote: Pessoal, tenho um FIREWALL configurado aqui na empresa para barrar os acessos ao serviço ssh fora da minha rede interna. Mas de alguma forma alguém conseguiu chegar a porta do meu servidor. Alguém já passou por este problema ? Sabe como conseguiram acessar o serviço ? O Log gerado pelo ssh é o seguinte: Apr 13 23:36:58 localhost sshd[22174]: Did not receive identification string from :::125.241.3.121 Apr 13 23:52:45 localhost sshd[22299]: Illegal user test from :::125.241.3.121 Apr 13 23:52:48 localhost sshd[22305]: Illegal user test from :::125.241.3.121 Apr 13 23:52:51 localhost sshd[22330]: Illegal user test from :::125.241.3.121 Bom, das duas uma: ou é alguem de dentro com um IP fabricado (spoofing) ou então vc não tá bloqueando as conexões vindas de fora... Também pode ser um port-forward, mas diria que é mais remoto... Tenta fazer um portscan por esses sites pela internet (grc.com symantec mcaffe etc) e veja se aparece alguma coisa. -- Marcos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
