Esse tipo de ataque vem acontecendo constantemente nos servidores com a 22 liberada para ssh, ele tenta acessar seu servidor todos os dias por tentativas de erros e acertos por logins do tipo "mysql", "root", "www", utilizando um dicion�rio de senhas, portanto � um ataque de brute force para ser mais espec�fico o programa SSH Brute Force Dictionary Exploit, (virou mania este programa), a solu��o que encontrei para meus servidores foi as seguintes:
Mudei a porta ssh para portas mais altas. Adicionei somente um usu�rio com acesso ao ssh Adicionei somente um ip com acesso ao servi�o Adicionei senha "fort�ssima" para o mane_das_quantas. Desabilitei o acesso com o root Port 65022 AllowUsers mane.das.quantas AllowHosts ip_da_maquina_origem PermitRootLogin no E acabou o ataque n�o recebo mais. Por�m n�o deixa de ser uma DDOS tive tentativas de acesso de mais de 10 ips distribuidos, causar Buffer Overflow acho pouqu�ssimo prov�vel (apesar do nome do script ser exploit). Vms soltar uma d�vida tamb�m, algu�m conhece algo que apartir de tentativas de erros ele bloqueia o IP (sem ser IDS) no pr�prio servi�o? Att. Tabajara Aguilar Praeiro Alves Gerencia de Tecnologia da Informa��o Sachet & Fagundes Ltda -----Mensagem original----- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Delima Enviada em: quarta-feira, 3 de novembro de 2004 20:23 Para: [EMAIL PROTECTED] Assunto: [slack-users] Ataque em SSH Ol� a todos. Pessoal, estou recebendo v�rias tentativas de acesso em um server por ssh, abaixo segue um log de exemplo: Nov 1 19:38:50 bulfoard sshd[736]: Illegal user test from 211.33.175.54 Nov 1 19:38:50 bulfoard sshd[736]: Failed password for illegal user test from 211.33.175.54 port 4490 ssh2 Nov 1 19:38:53 bulfoard sshd[738]: Illegal user test from 211.33.175.54 Nov 1 19:38:53 bulfoard sshd[738]: Failed password for illegal user test from 211.33.175.54 port 4917 ssh2 Nov 1 19:38:56 bulfoard sshd[740]: Illegal user www-data from 211.33.175.54 Nov 1 19:38:56 bulfoard sshd[740]: Failed password for illegal user www-data from 211.33.175.54 port 1314 ssh2 Nov 1 19:38:59 bulfoard sshd[742]: Failed password for mysql from 211.33.175.54 port 1761 ssh2 Nov 1 19:39:02 bulfoard sshd[744]: Failed password for operator from 211.33.175.54 port 2100 ssh2 Nov 1 19:39:06 bulfoard sshd[746]: Failed password for adm from 211.33.175.54 port 2459 ssh2 Nov 1 19:39:09 bulfoard sshd[748]: Illegal user apache from 211.33.175.54 Nov 1 19:39:09 bulfoard sshd[748]: Failed password for illegal user apache from 211.33.175.54 port 2786 ssh2 Nov 1 19:40:07 bulfoard sshd[784]: Failed password for root from 211.33.175.54 port 3030 ssh2 Nov 1 19:40:10 bulfoard sshd[786]: Failed password for root from 211.33.175.54 port 3078 ssh2 Nov 1 19:40:13 bulfoard sshd[788]: Failed password for root from 211.33.175.54 port 3148 ssh2 Nov 1 19:40:16 bulfoard sshd[790]: Failed password for root from 211.33.175.54 port 3227 ssh2 Nov 1 19:40:19 bulfoard sshd[792]: Failed password for root from 211.33.175.54 port 3320 ssh2 Detalhe: este server est� com acesso ao root desabilitado na conex�o Isso levou-me a mudar a porta de conexao para uma porta alta e isto parou. A minha pergunta �: esse tipo de acesso � s� para Dos ou Ddos ou conex�es deste tipo podem gerar Stack ou Buffer Overflow no ssh ? Esse server � um 9.1 e ele est� com todos os patches de corre��o atualizados. Alguma id�ia ? Grato pela aten��o. Abra�os; -- Marcel de Oliveira Lima [EMAIL PROTECTED] ICQ UIN #9322320[ ------------------------- Linux Registered User: 220037 Distro: Slackware 10.0 -- GUS-BR - Grupo de Usuarios Slackware - BR http://www.slackwarebrasil.org/ http://www.linuxmag.com.br/mailman/listinfo/slack-users -- GUS-BR - Grupo de Usuarios Slackware - BR http://www.slackwarebrasil.org/ http://www.linuxmag.com.br/mailman/listinfo/slack-users
