Boa tarde à todos. Ednei, o IP estranho que vc se percebeu tentando fechar uma conexão em sua rede é de outro país.
Existem ranges de IP's válidos definidos para cada país. Me parece que o IP que está tentando acessar sua rede é da China. Para ter mais certeza, acesse http://www.ipaddresslocation.org/ e dê uma olhada. Creio que o melhor a fazer é definir quais portas vc está usando e fechar todas as outras. Conforme os colegas da lista já disseram. Grande abraço Jose Roberto ----------------------------- Message: 6 Date: Mon, 2 Jun 2008 22:23:02 -0300 From: "Devair Linux" <[EMAIL PROTECTED]> Subject: (linux-br) Tentativa de Invasão To: <[email protected]> Message-ID: <[EMAIL PROTECTED]> Content-Type: text/plain; format=flowed; charset="iso-8859-1"; reply-type=original Bom dia! Em um servidor meu observei no log que tem alguem tentando acessa-lo ou invadi-lo, pois a mensagem abaixo se estende por quase 5 horas direto, as portas do ssh e telnet estão fechadas no firewall, eu uso speedy busynes da telefonica. Voces sabem quais medidas se tomar para resolver este problema, denuncia a policia. Não tenho a minima ideia do que Fazer? Alguem poderia me instruir? Obrigado Devair Jun 2 11:56:30 Server-Dados sshd[19074]: Invalid user ella from 125.71.218.80 Jun 2 11:56:35 Server-Dados sshd[19078]: Invalid user elle from 125.71.218.80 Jun 2 11:56:36 Server-Dados sshd[19076]: Invalid user consuela from 125.71.218.80 Jun 2 11:56:41 Server-Dados sshd[19080]: Invalid user ellen from 125.71.218.80 Jun 2 11:56:41 Server-Dados sshd[19081]: Invalid user consuelo from 125.71.218.80 Jun 2 11:56:46 Server-Dados sshd[19084]: Invalid user elliot from 125.71.218.80 Jun 2 11:56:47 Server-Dados sshd[19085]: Invalid user content from 125.71.218.80 Jun 2 11:56:51 Server-Dados sshd[19088]: Invalid user elvis from 125.71.218.80 ------------------------------ Message: 7 Date: Mon, 02 Jun 2008 22:47:39 -0300 From: Flavio Torres <[EMAIL PROTECTED]> Subject: Re: (linux-br) Tentativa de Invasão To: Devair Linux <[EMAIL PROTECTED]> Cc: [email protected] Message-ID: <[EMAIL PROTECTED]> Content-Type: text/plain; charset=ISO-8859-1; format=flowed -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Devair Linux wrote: | Bom dia! | | Em um servidor meu observei no log que tem alguem tentando acessa-lo ou | invadi-lo, pois a mensagem abaixo se estende por quase 5 horas direto, as | portas do ssh e telnet estão fechadas no firewall, eu uso speedy busynes da | telefonica. | Voces sabem quais medidas se tomar para resolver este problema, denuncia a | policia. | Não tenho a minima ideia do que Fazer? | Alguem poderia me instruir? | | Obrigado | | Devair | | | Jun 2 11:56:30 Server-Dados sshd[19074]: Invalid user ella from | 125.71.218.80 | hahaha, denuncie sim, quem, o IP? Já pensou em bloquear este IP? E vejo que seu SSH nao esta bloqueado nao, se tivesse, nao haveria tentativa de ataque brute-force. Abraços. - -- /"\ \ / Flavio Torres ~ X ASCII RIBBON CAMPAIGN - AGAINST HTML MAIL / \ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.8 (MingW32) iEYEARECAAYFAkhEorsACgkQNRQApncg295cOwCfWzgtO8QH6nTNT3IKO/bks+sj TxoAnjstPRxmteSjJgve6ltUJ2ST0Lor =veYJ -----END PGP SIGNATURE----- ------------------------------ Message: 8 Date: Mon, 2 Jun 2008 22:49:41 -0300 From: Marcelo Vivan Borro <[EMAIL PROTECTED]> Subject: Re: (linux-br) Tentativa de Invasão To: [email protected] Message-ID: <[EMAIL PROTECTED]> Content-Type: text/plain; charset="iso-8859-1" Em Seg 02 Jun 2008, Devair Linux escreveu: > Bom dia! > > Em um servidor meu observei no log que tem alguem tentando acessa-lo ou > invadi-lo, pois a mensagem abaixo se estende por quase 5 horas direto, as > portas do ssh e telnet estão fechadas no firewall, eu uso speedy busynes da > telefonica. > Voces sabem quais medidas se tomar para resolver este problema, denuncia a > policia. > Não tenho a minima ideia do que Fazer? > Alguem poderia me instruir? Infelizmente, ataques de brute force em ssh e ftp são as primeiras coisas que script kiddies aprendem a fazer quando se interessam por Linux. Eu recomendo o fail2ban para bloquear esta criançada. -- Marcelo Vivan Borro Linux User # 277064 ------------------------------ Message: 9 Date: Tue, 3 Jun 2008 06:46:04 -0400 From: " Édnei Rodrigues " <[EMAIL PROTECTED]> Subject: Re: (linux-br) Tentativa de Invasão To: [email protected] Message-ID: <[EMAIL PROTECTED]> Content-Type: text/plain; charset=ISO-8859-1 Me digam uma coisa...porque esse IP estranho ? ------------------------------ Message: 10 Date: Tue, 3 Jun 2008 08:29:10 -0300 From: "Kharl Kierth" <[EMAIL PROTECTED]> Subject: Re: (linux-br) Tentativa de Invasão To: "Linux - Br" <[email protected]> Message-ID: <[EMAIL PROTECTED]> Content-Type: text/plain; charset=ISO-8859-1 A melhor medida a se tomar seria criar um usuario para conexão remota, colocar o ssh para aceitar apenas conexões desse usuario e colocar uma senha forte para ele. para fazer com que o ssh permita apenas esse usuario para conexão coloque no /etc/ssh/sshd_config AllowUsers usuario e recarregue o serviço, isso fará com que qq outro usuario diferente do usuario "usuario" seja negado, assim, mesmo se o sujeito conseguir um usuario e uma senha válidas (diferente do "usuario") não irá conectar. Apos a conexão com o usuario "usuario" voce pode executar "su" para ter permissão para fazer o que pretende remotamente outra medida a ser tomada eh usar algo que faça bloqueio dinâmico de IP pois geralmente esse tipo de tentativa nunca vem do mesmo IP. como o marcelo disse acima o fail2ban pode ajudar. > Devair Linux wrote: > | Em um servidor meu observei no log que tem alguem tentando acessa-lo ou > | invadi-lo, pois a mensagem abaixo se estende por quase 5 horas direto, as > | portas do ssh e telnet estão fechadas no firewall, eu uso speedy > busynes da > | telefonica. > | Voces sabem quais medidas se tomar para resolver este problema, denuncia a > | policia. > | Não tenho a minima ideia do que Fazer? > | Alguem poderia me instruir? > | > ------------------------------ Message: 11 Date: Tue, 03 Jun 2008 10:08:25 -0300 From: "Renato S. Yamane" <[EMAIL PROTECTED]> Subject: Re: (linux-br) Tentativa de Invasão To: [email protected] Message-ID: <[EMAIL PROTECTED]> Content-Type: text/plain; charset=ISO-8859-1 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Devair Linux escreveu: > Voces sabem quais medidas se tomar para resolver este problema, denuncia a > policia. Problemas de segurança e spam também devem ser reportados ao cert.br, respectivamente para [EMAIL PROTECTED] e [EMAIL PROTECTED] > Não tenho a minima ideia do que Fazer? > Alguem poderia me instruir? Aquilo era um ataque de força bruta. Utilize o fail2ban, knockd e autenticação por chaves. <http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh> <http://www.guiadohardware.net/dicas/bloqueando-ataques-ssh.html> <http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki> Att, Renato -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIRUJJrf2L358fCLsRAlnUAJ99LZc2+jfRg6UEC458QLot/sggfgCdFYOI dbEKk2C0MdXgN8tkRQzf2Go= =bQ0z -----END PGP SIGNATURE----- ------------------------------ Message: 12 Date: Tue, 3 Jun 2008 10:02:57 -0300 From: "Silvana Mesquita" <[EMAIL PROTECTED]> Subject: Re: (linux-br) Tentativa de Invasão To: <[email protected]> Message-ID: <[EMAIL PROTECTED]> Content-Type: text/plain; format=flowed; charset="iso-8859-1"; reply-type=original Eu uso o iptables para previnir invasão de portas: iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 120 -j DROP Assim, se o cara errar a senha, só vai poder tentar de novo 2 minutos depois. Como a maior parte dos baby hackers usam um programinha automático, ao tentar conexão e receber a primeira negativa, vai pular para outro endereço e deixar a gente em paz. Tem funcionado muito bem, e soluciona o problema para quem precisa deixar o ssh aberto (ou o ftp). Mesmo porque é quase impossível ele acertar usuario e senha na primeira tentativa. É claro, que se você não precisa dessas portas abertas, o melhor é fechá-las definitivamente: iptables -A INPUT -p tcp --dport ssh -j DROP ~~~~~~~~~~~~~~~~~~~~~~ Silvana Mesquita ~~~~~~~~~~~~~~~~~~~~~~ ------------------------------ --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html Fim da Digest Linux-BR, volume 636, assunto 1 ********************************************* A Deloitte refere-se a uma ou mais Deloitte Touche Tohmatsu, uma verein (associação) estabelecida na Suíça, e sua rede de firmas-membro, sendo cada uma delas uma entidade independente e legalmente separada. Acesse em www.deloitte.com/about a descrição detalhada da estrutura legal da Deloitte Touche Tohmatsu e de suas firmas-membro. Esta mensagem (incluindo anexos, se houver) contém informações confidenciais para o destinatário, e tem fins específicos e é protegida por lei. Se você não é o destinatário desta mensagem, você deve apagá-la. Qualquer divulgação, cópia ou distribuição desta mensagem, ou qualquer ação tomada com base em tal, é estritamente proibida. Deloitte refers to one or more of Deloitte Touche Tohmatsu, a Swiss Verein, and its network of member firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of Deloitte Touche Tohmatsu and its Member Firms. This message (including any attachments) contains confidential information intended for a specific individual and purpose, and is protected by law. If you are not the intended recipient, you should delete this message. Any disclosure, copying, or distribution of this message, or the taking of any action based on it, is strictly prohibited --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
