Re: [FUG-BR] [OFF TOPIC] Ataques...
Agradeço a todos vocês pelas dicas. Consegui resolver, mudando a porta do meu ssh, mas ainda estou dando uma analisada no knock, pois não custa nada incrementar um pouco mais de segurança. Mais uma vez tenho meu problema resolvido através da lista. Muito obrigado! Em Qui, 2006-12-07 à s 09:59 -0300, Junior Pires escreveu: Esse log, eu peguei num e-mail que o MTA manda pra mim todos os dias, na parte de security... tem essas referencias aqui http://www.freebsdforums.org/forums/showthread.php?t=45527 http://lists.freebsd.org/pipermail/freebsd-questions/2006-April/120337.html eu recomendaria vc filtrar mais as conexões do ssh no firewall, algo como : allow tcp from ipquepodefazerssh to me dst-port 22 limit src-addr 1 e evitar ser scaneado: 003000 0 deny log tcp from any to any ipoptions ssrr,lsrr,rr 003100 0 deny log tcp from any to any tcpflags syn,fin 003200 0 deny log tcp from any to any tcpflags syn,rst []'s -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora! http://br.acesso.yahoo.com -- Esta mensagem foi verificada pelo sistema de antivírus e acredita-se estar livre de perigo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Junior Pires Assistente de Informáica CPD Gujão Alimentos. Tel: (75) 3244-2121 (Ramal 202). -- Esta mensagem foi verificada pelo sistema de antivírus e acredita-se estar livre de perigo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] Ataques...
On Sun, 17 Dec 2006 13:48:57 -0300 (BRT) Junior Pires [EMAIL PROTECTED] wrote: Consegui resolver, mudando a porta do meu ssh, mas ainda estou dando uma analisada no knock, pois não custa nada incrementar um pouco mais de segurança. Tenho usado o Denyhosts (security/denyhosts no ports) já tem quase 1 ano, e estou bem satisfeito. Têm ocorrido pelo menos uns 2 ou 3 ataques de força bruta, e vários outros aconteceriam, mas como o Denyhosts tem uma base (blacklist) com uns 3600 IPs, a maioria não consegue nem fazer a primeira tentativa. -- Ricardo Nabinger Sanchez [EMAIL PROTECTED],wait4.org} Powered by FreeBSD Left to themselves, things tend to go from bad to worse. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] Ataques...
Em Thu, 7 Dec 2006 08:41:24 -0300 (BRT) Junior Pires [EMAIL PROTECTED] escreveu: Dec 6 21:11:30 mail sshd[63866]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! acredito que o Possible.. está meio exagerado. Não é incomum um spammer não ter um enderêço reverso e isso é motivo de rejeição na maioria dos MTA atuais, além das listas negras, greylists, etc. nêsse caso em especial: :=== begin [EMAIL PROTECTED]:/tmp$]: host ns.speedyserver3.co.uk ns.speedyserver3.co.uk has address 208.67.219.40 Host ns.speedyserver3.co.uk not found: 3(NXDOMAIN) Host ns.speedyserver3.co.uk not found: 3(NXDOMAIN) [EMAIL PROTECTED]:/tmp$]: dig -x 208.67.219.40 ; DiG 9.3.2-P1 -x 208.67.219.40 ;; global options: printcmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: NOERROR, id: 55712 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;40.219.67.208.in-addr.arpa.IN PTR ;; ANSWER SECTION: 40.219.67.208.in-addr.arpa. 3593 IN PTR ip-208-67-219-40.n.opendns.com. ;; Query time: 159 msec ;; SERVER: 208.67.222.222#53(208.67.222.222) ;; WHEN: Thu Dec 7 10:35:33 2006 ;; MSG SIZE rcvd: 88 :=== end não existe dominio, e o reverso (óbvio) não bate. Mas vc NÃO DISSE de qual dos log's tirou êsse extrato. Se olhar no /var/log/maillog (postfix) êsse 'pseudo-smtp' deve aparecer várias vêzes como rejeitado. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 100% Miko$hit-free A experiencia ensina que a mulher ideal é sempre a dos outros - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] Ataques...
Em Qui, 2006-12-07 às 09:59 -0300, Junior Pires escreveu: Esse log, eu peguei num e-mail que o MTA manda pra mim todos os dias, na parte de security... tem essas referencias aqui http://www.freebsdforums.org/forums/showthread.php?t=45527 http://lists.freebsd.org/pipermail/freebsd-questions/2006-April/120337.html eu recomendaria vc filtrar mais as conexões do ssh no firewall, algo como : allow tcp from ipquepodefazerssh to me dst-port 22 limit src-addr 1 e evitar ser scaneado: 003000 0 deny log tcp from any to any ipoptions ssrr,lsrr,rr 003100 0 deny log tcp from any to any tcpflags syn,fin 003200 0 deny log tcp from any to any tcpflags syn,rst []'s -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Yahoo! Acesso Gr�tis - Internet r�pida e gr�tis. Instale o discador agora! http://br.acesso.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] Ataques...
Essa mensagem nao é do mta, e sim do sshd. Existe uma maneira BEM simples que resolveria seu problema. Troque de porta! Tire da 22... Aqui por exemplo, eu costumo usar a 666, 5122, 226 ... :) Em 7/12/2006, Marcello Costa [EMAIL PROTECTED] escreveu: Em Qui, 2006-12-07 à s 09:59 -0300, Junior Pires escreveu: Esse log, eu peguei num e-mail que o MTA manda pra mim todos os dias, na parte de security... tem essas referencias aqui http://www.freebsdforums.org/forums/showthread.php?t=45527 http://lists.freebsd.org/pipermail/freebsd-questions/2006-April/120337.html eu recomendaria vc filtrar mais as conexões do ssh no firewall, algo como : allow tcp from ipquepodefazerssh to me dst-port 22 limit src-addr 1 e evitar ser scaneado: 003000 0 deny log tcp from any to any ipoptions ssrr,lsrr,rr 003100 0 deny log tcp from any to any tcpflags syn,fin 003200 0 deny log tcp from any to any tcpflags syn,rst []'s -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora! http://br.acesso.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] Ataques...
Em Qui, 2006-12-07 às 13:40 -0300, [EMAIL PROTECTED] escreveu: Essa mensagem nao é do mta, e sim do sshd. Existe uma maneira BEM simples que resolveria seu problema. Troque de porta! Tire da 22... Aqui por exemplo, eu costumo usar a 666, 5122, 226 ... :) Eu particularmente não gosto muito de mudar as portas , mas a mensagem como esta no link que coloquei é o ssh reportando tentativas de login do dominio, provavelmente um adsl, acho que filtrar melhor a porta 22 melhor que trocar de porta e não deixar ela filtrada, mesmo pq assim um nmap da vida logo acha a tal 666. a regra: add 1001 allow tcp from ipquepodefazerssh to me dst-port 22 limit src-addr 1 permite que seja feito apenas uma sessão por vez do ipquepodefazerssh , resumindo , resolve o problema no firewall antes da conexão chegar ao ssh, claro que ainda pode fazer algum ajuste no ssh, agora quer ser malvado, coloque depois a regra: add 1002 reset all from any to me ssh reset Discard packets that match this rule, and if the packet is a TCP packet, try to send a TCP reset (RST) notice. The search terminates. []'s Em 7/12/2006, Marcello Costa [EMAIL PROTECTED] escreveu: Em Qui, 2006-12-07 à s 09:59 -0300, Junior Pires escreveu: Esse log, eu peguei num e-mail que o MTA manda pra mim todos os dias, na parte de security... tem essas referencias aqui http://www.freebsdforums.org/forums/showthread.php?t=45527 http://lists.freebsd.org/pipermail/freebsd-questions/2006-April/120337.html eu recomendaria vc filtrar mais as conexões do ssh no firewall, algo como : allow tcp from ipquepodefazerssh to me dst-port 22 limit src-addr 1 e evitar ser scaneado: 003000 0 deny log tcp from any to any ipoptions ssrr,lsrr,rr 003100 0 deny log tcp from any to any tcpflags syn,fin 003200 0 deny log tcp from any to any tcpflags syn,rst []'s -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora! http://br.acesso.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] Ataques...
Mas por exemplo, a porta 5122 nao está entre as defaults do nmap! soh pegaria essa porta se usasse o argumento -p 1-65535. a maioria dos bruteforce vao em cima da 22, aqui acabou todos os problemas... outra coisa q se pode fazer, e trancar por fingerprint no pf. O nmap por exemplo, nao acha nada. block drop in quick on $ext_if1 from any os {SCO,NMAP,LINUX} Nao só o nmap, como SCO e LINUX. Se existir algum linux na rede, pode ter certeza que ele nao navega. Outra coisa, se nao me engano, o snort resolve esse tipo de problema... Em 7/12/2006, Marcello Costa [EMAIL PROTECTED] escreveu: Em Qui, 2006-12-07 às 13:40 -0300, [EMAIL PROTECTED] escreveu: Essa mensagem nao é do mta, e sim do sshd. Existe uma maneira BEM simples que resolveria seu problema. Troque de porta! Tire da 22... Aqui por exemplo, eu costumo usar a 666, 5122, 226 ... :) Eu particularmente não gosto muito de mudar as portas , mas a mensagem como esta no link que coloquei é o ssh reportando tentativas de login do dominio, provavelmente um adsl, acho que filtrar melhor a porta 22 melhor que trocar de porta e não deixar ela filtrada, mesmo pq assim um nmap da vida logo acha a tal 666. a regra: add 1001 allow tcp from ipquepodefazerssh to me dst-port 22 limit src-addr 1 permite que seja feito apenas uma sessão por vez do ipquepodefazerssh , resumindo , resolve o problema no firewall antes da conexão chegar ao ssh, claro que ainda pode fazer algum ajuste no ssh, agora quer ser malvado, coloque depois a regra: add 1002 reset all from any to me ssh reset Discard packets that match this rule, and if the packet is a TCP packet, try to send a TCP reset (RST) notice. The search terminates. []'s Em 7/12/2006, Marcello Costa [EMAIL PROTECTED] escreveu: Em Qui, 2006-12-07 à s 09:59 -0300, Junior Pires escreveu: Esse log, eu peguei num e-mail que o MTA manda pra mim todos os dias, na parte de security... tem essas referencias aqui http://www.freebsdforums.org/forums/showthread.php?t=45527 http://lists.freebsd.org/pipermail/freebsd-questions/2006-April/120337.html eu recomendaria vc filtrar mais as conexões do ssh no firewall, algo como : allow tcp from ipquepodefazerssh to me dst-port 22 limit src-addr 1 e evitar ser scaneado: 003000 0 deny log tcp from any to any ipoptions ssrr,lsrr,rr 003100 0 deny log tcp from any to any tcpflags syn,fin 003200 0 deny log tcp from any to any tcpflags syn,rst []'s -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora! http://br.acesso.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] Ataques...
completando tem o knock , não me lembro bem o nome , que espera uma toc toc em uma determinada porta para abrir a porta que vc queira o ssh , só faltou a sonoplastia na explicação , hehehe []'s Em Qui, 2006-12-07 às 15:15 -0300, [EMAIL PROTECTED] escreveu: Mas por exemplo, a porta 5122 nao está entre as defaults do nmap! soh pegaria essa porta se usasse o argumento -p 1-65535. a maioria dos bruteforce vao em cima da 22, aqui acabou todos os problemas... outra coisa q se pode fazer, e trancar por fingerprint no pf. O nmap por exemplo, nao acha nada. block drop in quick on $ext_if1 from any os {SCO,NMAP,LINUX} Nao só o nmap, como SCO e LINUX. Se existir algum linux na rede, pode ter certeza que ele nao navega. Outra coisa, se nao me engano, o snort resolve esse tipo de problema... Em 7/12/2006, Marcello Costa [EMAIL PROTECTED] escreveu: Em Qui, 2006-12-07 às 13:40 -0300, [EMAIL PROTECTED] escreveu: Essa mensagem nao é do mta, e sim do sshd. Existe uma maneira BEM simples que resolveria seu problema. Troque de porta! Tire da 22... Aqui por exemplo, eu costumo usar a 666, 5122, 226 ... :) Eu particularmente não gosto muito de mudar as portas , mas a mensagem como esta no link que coloquei é o ssh reportando tentativas de login do dominio, provavelmente um adsl, acho que filtrar melhor a porta 22 melhor que trocar de porta e não deixar ela filtrada, mesmo pq assim um nmap da vida logo acha a tal 666. a regra: add 1001 allow tcp from ipquepodefazerssh to me dst-port 22 limit src-addr 1 permite que seja feito apenas uma sessão por vez do ipquepodefazerssh , resumindo , resolve o problema no firewall antes da conexão chegar ao ssh, claro que ainda pode fazer algum ajuste no ssh, agora quer ser malvado, coloque depois a regra: add 1002 reset all from any to me ssh reset Discard packets that match this rule, and if the packet is a TCP packet, try to send a TCP reset (RST) notice. The search terminates. []'s Em 7/12/2006, Marcello Costa [EMAIL PROTECTED] escreveu: Em Qui, 2006-12-07 à s 09:59 -0300, Junior Pires escreveu: Esse log, eu peguei num e-mail que o MTA manda pra mim todos os dias, na parte de security... tem essas referencias aqui http://www.freebsdforums.org/forums/showthread.php?t=45527 http://lists.freebsd.org/pipermail/freebsd-questions/2006-April/120337.html eu recomendaria vc filtrar mais as conexões do ssh no firewall, algo como : allow tcp from ipquepodefazerssh to me dst-port 22 limit src-addr 1 e evitar ser scaneado: 003000 0 deny log tcp from any to any ipoptions ssrr,lsrr,rr 003100 0 deny log tcp from any to any tcpflags syn,fin 003200 0 deny log tcp from any to any tcpflags syn,rst []'s -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora! http://br.acesso.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] Ataques...
Olá, Eu recomendaria fortemente a instalação de uma solução como openvpn, ou ate mesmo ipsec para acesso ao servidor filtrando todas as portas e fazendo uso do snort com algum inline para seu firewall pf/ipfw,etc. Se a sua base de suporte e fixa utilize uma regra para liberação apenas do seu ip para acesso a vpn. Abraços -- Rafael Floriano Sousa Sales Segurança da Informação Tompast IT Services e-mail: [EMAIL PROTECTED] +55-11-3207-2457 +55-11-8433-2281 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] Ataques...
só de vc trocar a porta do ssh por outra vc ja vai se livrar dos robozinhos - Original Message - From: Junior Pires [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Thursday, December 07, 2006 9:41 AM Subject: [FUG-BR] [OFF TOPIC] Ataques... Bom dia pessoal, eu estou sendo vítima de alguns ataques ao meu servidor de e-mail. De algum tempo pra cá, eu sando uma olhada em meus logs, notei que sempre há uma coisa desse tipo: Dec 6 21:11:01 mail sshd[63814]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:05 mail sshd[63829]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:06 mail sshd[63831]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:08 mail sshd[63834]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:10 mail sshd[63836]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:12 mail sshd[63839]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:15 mail sshd[63841]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:16 mail sshd[63843]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:19 mail sshd[63850]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:21 mail sshd[63858]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:24 mail sshd[63860]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:26 mail sshd[63862]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:28 mail sshd[63864]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:30 mail sshd[63866]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Já instalei o brutecblock, que resolveu por algum curto tempo, mas agora está voltando de novo... O que vocês me recomendam pra solucionar essa questão? Grato desde já. -- Junior Pires Assistente de Informáica CPD Gujão Alimentos. Tel: (75) 3244-2121 (Ramal 202). -- Esta mensagem foi verificada pelo sistema de antivírus e acredita-se estar livre de perigo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] Ataques...
Junior Pires escreveu: Bom dia pessoal, eu estou sendo vítima de alguns ataques ao meu servidor de e-mail. De algum tempo pra cá, eu sando uma olhada em meus logs, notei que sempre há uma coisa desse tipo: Dec 6 21:11:01 mail sshd[63814]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:05 mail sshd[63829]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:06 mail sshd[63831]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:08 mail sshd[63834]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:10 mail sshd[63836]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:12 mail sshd[63839]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:15 mail sshd[63841]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:16 mail sshd[63843]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:19 mail sshd[63850]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:21 mail sshd[63858]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:24 mail sshd[63860]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:26 mail sshd[63862]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:28 mail sshd[63864]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:30 mail sshd[63866]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Já instalei o brutecblock, que resolveu por algum curto tempo, mas agora está voltando de novo... O que vocês me recomendam pra solucionar essa questão? Grato desde já. Eu, (IMHO) tenho um server com ssh ativo na porta 22 mesmo sem o bruteblock e nem ligo pois configurei o ssh pra acessar com usuário restrito e com uma senha bemmm difícil (tipo bater no teclado com a mao aberta) rs... Falando serio agora... 1 - feche o seu firewall liberando para ips ou range que você usa constantemente com isso deve resolver um pouco. ou 2 - instale algum knock port pra lhe liberar a porta 22 ou outra qualquer!! Att. -- --- Carlos Anderson Jardim Tecnologia da Informacao - Redes e Internet Santa Casa de São José dos Campos Linux User #403727 FUG-BR User #381 Tel.: (12) 3925-1873 - 3925-1925 -- Esta mensagem foi verificada pelo sistema de antivírus e acredita-se estar livre de perigo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] Ataques...
Meus problemas acabaram aqui ó http://www.fug.com.br/content/view/197/77/ On Thu, 2006-12-07 at 17:43 -0200, Renato wrote: só de vc trocar a porta do ssh por outra vc ja vai se livrar dos robozinhos - Original Message - From: Junior Pires [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Thursday, December 07, 2006 9:41 AM Subject: [FUG-BR] [OFF TOPIC] Ataques... Bom dia pessoal, eu estou sendo vítima de alguns ataques ao meu servidor de e-mail. De algum tempo pra cá, eu sando uma olhada em meus logs, notei que sempre há uma coisa desse tipo: Dec 6 21:11:01 mail sshd[63814]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:05 mail sshd[63829]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:06 mail sshd[63831]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:08 mail sshd[63834]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:10 mail sshd[63836]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:12 mail sshd[63839]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:15 mail sshd[63841]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:16 mail sshd[63843]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:19 mail sshd[63850]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:21 mail sshd[63858]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:24 mail sshd[63860]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:26 mail sshd[63862]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:28 mail sshd[63864]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:30 mail sshd[63866]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Já instalei o brutecblock, que resolveu por algum curto tempo, mas agora está voltando de novo... O que vocês me recomendam pra solucionar essa questão? Grato desde já. -- Junior Pires Assistente de Informáica CPD Gujão Alimentos. Tel: (75) 3244-2121 (Ramal 202). -- Linux is for people who hate Windows, BSD is for people who love UNIX Freebsd-BR User #88 --- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] Ataques...
Em Quinta 07 Dezembro 2006 18:05, Giancarlo Rubio escreveu: Meus problemas acabaram aqui ó http://www.fug.com.br/content/view/197/77/ On Thu, 2006-12-07 at 17:43 -0200, Renato wrote: só de vc trocar a porta do ssh por outra vc ja vai se livrar dos robozinhos Muito facil de resolver, configure seu ssh pra somente aceitar conexoes com chave criptografada, sem usar senha e se divirta com os caras tentando invadir [] 's José Luiz - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] Ataques...
Muito obrigado a todos pela atenção! Vou analisar cada sugestão com carinho e experimenta-las pra ver qual melhor se adequará ao meu cenário. Só uma pergunta... Como eu mudo a porta do SSH ? Grato, On Thu, 2006-12-07 at 17:43 -0200, Renato wrote: só de vc trocar a porta do ssh por outra vc ja vai se livrar dos robozinhos - Original Message - From: Junior Pires [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Thursday, December 07, 2006 9:41 AM Subject: [FUG-BR] [OFF TOPIC] Ataques... Bom dia pessoal, eu estou sendo vítima de alguns ataques ao meu servidor de e-mail. De algum tempo pra cá, eu sando uma olhada em meus logs, notei que sempre há uma coisa desse tipo: Dec 6 21:11:01 mail sshd[63814]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:05 mail sshd[63829]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:06 mail sshd[63831]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:08 mail sshd[63834]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:10 mail sshd[63836]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:12 mail sshd[63839]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:15 mail sshd[63841]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:16 mail sshd[63843]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:19 mail sshd[63850]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:21 mail sshd[63858]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:24 mail sshd[63860]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:26 mail sshd[63862]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:28 mail sshd[63864]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:30 mail sshd[63866]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Já instalei o brutecblock, que resolveu por algum curto tempo, mas agora está voltando de novo... O que vocês me recomendam pra solucionar essa questão? Grato desde já. -- Junior Pires Assistente de Informáica CPD Gujão Alimentos. Tel: (75) 3244-2121 (Ramal 202). -- Linux is for people who hate Windows, BSD is for people who love UNIX Freebsd-BR User #88 --- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Esta mensagem foi verificada pelo sistema de antivírus e acredita-se estar livre de perigo. -- Junior Pires Assistente de Informáica CPD Gujão Alimentos. Tel: (75) 3244-2121 (Ramal 202). -- Esta mensagem foi verificada pelo sistema de antivírus e acredita-se estar livre de perigo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] Ataques...
ssh do sistema: /etc/ssh/sshd_config (Port 2255) ssh do ports: /usr/local/etc/ssh/sshd_config (Port 2255) Tenho uma dica no Dicas-L publicada falando sobre ataques no ssh, confira em http://www.dicas-l.com.br/dicas-l/20060817.php, alias tem alguns comentarios que sao interessantes tambem! ;] --- Junior Pires [EMAIL PROTECTED] wrote: Muito obrigado a todos pela atenção! Vou analisar cada sugestão com carinho e experimenta-las pra ver qual melhor se adequará ao meu cenário. Só uma pergunta... Como eu mudo a porta do SSH ? Grato, On Thu, 2006-12-07 at 17:43 -0200, Renato wrote: só de vc trocar a porta do ssh por outra vc ja vai se livrar dos robozinhos - Original Message - From: Junior Pires [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Thursday, December 07, 2006 9:41 AM Subject: [FUG-BR] [OFF TOPIC] Ataques... Bom dia pessoal, eu estou sendo vítima de alguns ataques ao meu servidor de e-mail. De algum tempo pra cá, eu sando uma olhada em meus logs, notei que sempre há uma coisa desse tipo: Dec 6 21:11:01 mail sshd[63814]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:05 mail sshd[63829]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:06 mail sshd[63831]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:08 mail sshd[63834]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:10 mail sshd[63836]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:12 mail sshd[63839]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:15 mail sshd[63841]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:16 mail sshd[63843]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:19 mail sshd[63850]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:21 mail sshd[63858]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:24 mail sshd[63860]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:26 mail sshd[63862]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:28 mail sshd[63864]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:30 mail sshd[63866]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Já instalei o brutecblock, que resolveu por algum curto tempo, mas agora está voltando de novo... O que vocês me recomendam pra solucionar essa questão? Grato desde já. -- Junior Pires Assistente de Informáica CPD Gujão Alimentos. Tel: (75) 3244-2121 (Ramal 202). -- Linux is for people who hate Windows, BSD is for people who love UNIX Freebsd-BR User #88 --- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Esta mensagem foi verificada pelo sistema de antivírus e acredita-se estar livre de perigo. -- Junior Pires Assistente de Informáica CPD Gujão Alimentos. Tel: (75) 3244-2121 (Ramal 202). -- Esta mensagem foi verificada pelo sistema de antivírus e acredita-se estar livre de perigo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Matheus Lamberti BSD UserID: 051370 / FUG ID: 388 Viver é algo tão espantoso que sobra pouco tempo para qualquer outra coisa. (Emily Dickinson) Need a quick answer? Get one in minutes from people who know. Ask your question on www.Answers.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF TOPIC] Ataques...
Muito obrigado! =) ssh do sistema: /etc/ssh/sshd_config (Port 2255) ssh do ports: /usr/local/etc/ssh/sshd_config (Port 2255) Tenho uma dica no Dicas-L publicada falando sobre ataques no ssh, confira em http://www.dicas-l.com.br/dicas-l/20060817.php, alias tem alguns comentarios que sao interessantes tambem! ;] --- Junior Pires [EMAIL PROTECTED] wrote: Muito obrigado a todos pela atenção! Vou analisar cada sugestão com carinho e experimenta-las pra ver qual melhor se adequará ao meu cenário. Só uma pergunta... Como eu mudo a porta do SSH ? Grato, On Thu, 2006-12-07 at 17:43 -0200, Renato wrote: só de vc trocar a porta do ssh por outra vc ja vai se livrar dos robozinhos - Original Message - From: Junior Pires [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Thursday, December 07, 2006 9:41 AM Subject: [FUG-BR] [OFF TOPIC] Ataques... Bom dia pessoal, eu estou sendo vítima de alguns ataques ao meu servidor de e-mail. De algum tempo pra cá, eu sando uma olhada em meus logs, notei que sempre há uma coisa desse tipo: Dec 6 21:11:01 mail sshd[63814]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:05 mail sshd[63829]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:06 mail sshd[63831]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:08 mail sshd[63834]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:10 mail sshd[63836]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:12 mail sshd[63839]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:15 mail sshd[63841]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:16 mail sshd[63843]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:19 mail sshd[63850]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:21 mail sshd[63858]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:24 mail sshd[63860]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:26 mail sshd[63862]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:28 mail sshd[63864]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Dec 6 21:11:30 mail sshd[63866]: reverse mapping checking getaddrinfo for ns.speedyserver3.co.uk failed - POSSIBLE BREAKIN ATTEMPT! Já instalei o brutecblock, que resolveu por algum curto tempo, mas agora está voltando de novo... O que vocês me recomendam pra solucionar essa questão? Grato desde já. -- Junior Pires Assistente de Informáica CPD Gujão Alimentos. Tel: (75) 3244-2121 (Ramal 202). -- Linux is for people who hate Windows, BSD is for people who love UNIX Freebsd-BR User #88 --- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Esta mensagem foi verificada pelo sistema de antivírus e acredita-se estar livre de perigo. -- Junior Pires Assistente de Informáica CPD Gujão Alimentos. Tel: (75) 3244-2121 (Ramal 202). -- Esta mensagem foi verificada pelo sistema de antivírus e acredita-se estar livre de perigo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Matheus Lamberti BSD UserID: 051370 / FUG ID: 388 Viver é algo tão espantoso que sobra pouco tempo para qualquer outra coisa. (Emily Dickinson) Need a quick answer? Get one in minutes from people who know. Ask your question on www.Answers.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Esta mensagem foi verificada pelo sistema de antivírus e acredita-se estar livre de perigo. -- Junior Pires Assistente de Informáica CPD Gujão Alimentos. Tel: (75) 3244-2121 (Ramal 202). -- Esta mensagem foi verificada pelo sistema de antivírus e acredita-se estar livre de perigo. - Histórico: