Bom dia!
Em um servidor meu observei no log que tem alguem tentando, pois a mensagem abaixo se estende por quase 5 horas direto, as portas do ssh e telnet estão fechadas no firewall, eu uso speedy busynes da telefonica. Voces sabem quais medidas se tomar para resolver este problema, denuncia a policia. Não tenho a minima ideia do que Fazer? Alguem poderia me instruir?
Obrigado
Devair
Jun 2 11:56:30 Server-Dados sshd[19074]: Invalid user ella from 125.71.218.80 Jun 2 11:56:35 Server-Dados sshd[19078]: Invalid user elle from 125.71.218.80 Jun 2 11:56:36 Server-Dados sshd[19076]: Invalid user consuela from 125.71.218.80 Jun 2 11:56:41 Server-Dados sshd[19080]: Invalid user ellen from 125.71.218.80 Jun 2 11:56:41 Server-Dados sshd[19081]: Invalid user consuelo from 125.71.218.80 Jun 2 11:56:46 Server-Dados sshd[19084]: Invalid user elliot from 125.71.218.80 Jun 2 11:56:47 Server-Dados sshd[19085]: Invalid user content from 125.71.218.80 Jun 2 11:56:51 Server-Dados sshd[19088]: Invalid user elvis from 125.71.218.80
Olá Devair,
Se as portas estão fechadas no firewall, como aparece a tentativa no log do ssh? Era pra barrar a tentativa antes disso não?
Em todo caso, se a invasão não aconteceu, poderá validar se o firewall está corretamente configurado (bloqueando todas as conexões vindas daquele IP, que é o mesmo para todas as tentativas que você colocou no email), verificar se tem os patches de segurança corretamente aplicados e se os usuários que tem acesso ao ssh tem senhas fortes.
Legalmente falando, eu *acho* que nada poderá fazer já que a invasão não se concretizou.
[] ´s
Gustavo Picoloto
2008/6/2 Devair Linux devair.linux@terra.com.br:
Bom dia!
Em um servidor meu observei no log que tem alguem tentando, pois a mensagem abaixo se estende por quase 5 horas direto, as portas do ssh e telnet estão fechadas no firewall, eu uso speedy busynes da telefonica. Voces sabem quais medidas se tomar para resolver este problema, denuncia a policia. Não tenho a minima ideia do que Fazer? Alguem poderia me instruir?
Obrigado
Devair
Jun 2 11:56:30 Server-Dados sshd[19074]: Invalid user ella from 125.71.218.80 Jun 2 11:56:35 Server-Dados sshd[19078]: Invalid user elle from 125.71.218.80 Jun 2 11:56:36 Server-Dados sshd[19076]: Invalid user consuela from 125.71.218.80 Jun 2 11:56:41 Server-Dados sshd[19080]: Invalid user ellen from 125.71.218.80 Jun 2 11:56:41 Server-Dados sshd[19081]: Invalid user consuelo from 125.71.218.80 Jun 2 11:56:46 Server-Dados sshd[19084]: Invalid user elliot from 125.71.218.80 Jun 2 11:56:47 Server-Dados sshd[19085]: Invalid user content from 125.71.218.80 Jun 2 11:56:51 Server-Dados sshd[19088]: Invalid user elvis from 125.71.218.80
-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
Rau,
É um ataque de força bruta em SSH, "campeão de audiência" na internet brasileira (veja http://www.cert.br/stats/incidentes/2008-jan-mar/scan-portas.html)
Campeão mesmo...
São robots que vasculham a internet atrás de portas 22 abertas e quando acham, ficam tentando encontrar a senha usando palavras de dicionário e outras combinações (ella, elle, consuella, etc, conforme mostra teu log). Se você usa senhas fortes, o risco de sucesso do ataque é menor.
Se você não precisa do SSH, desabilite o deamon.
Uma boa pedida é um simples port-knock,
Exemplo alterando o script gerado pelo system-config-firewall:
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 22 --state NEW -j ACCEPT --rcheck --name SSH
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1599 --state NEW -j DROP --name SSH --remove -A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1600 --state NEW -j DROP --name SSH --set -A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1601 --state NEW -j DROP --name SSH --remove
Assim a porta 22 sempre estara fechada. Para abrir basta qualquer tentativa de conexão na porta 1600 e para fecha-la basta outra tentativa de conexão nas portas 1599/1601.
Gosto de utilizar as portas que fecham "cercando" a que abre, pois caso algum script tente varrer as portas abertas ele ira abrir a automaticamente fechar a 22.
Eu ainda sou afavor de vpn! Simples e direta! Openvpn! Tranquilidade com um certificado de 2048! Pronto! :D
2008/6/2 André Felício andre@felicio.com.br:
Rau,
É um ataque de força bruta em SSH, "campeão de audiência" na internet brasileira (veja http://www.cert.br/stats/incidentes/2008-jan-mar/scan-portas.html)
Campeão mesmo...
São robots que vasculham a internet atrás de portas 22 abertas e quando acham, ficam tentando encontrar a senha usando palavras de dicionário e outras combinações (ella, elle, consuella, etc, conforme mostra teu
log).
Se você usa senhas fortes, o risco de sucesso do ataque é menor.
Se você não precisa do SSH, desabilite o deamon.
Uma boa pedida é um simples port-knock,
Exemplo alterando o script gerado pelo system-config-firewall:
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 22 --state NEW -j ACCEPT --rcheck --name SSH
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1599 --state NEW -j DROP --name SSH --remove -A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1600 --state NEW -j DROP --name SSH --set -A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1601 --state NEW -j DROP --name SSH --remove
Assim a porta 22 sempre estara fechada. Para abrir basta qualquer tentativa de conexão na porta 1600 e para fecha-la basta outra tentativa de conexão nas portas 1599/1601.
Gosto de utilizar as portas que fecham "cercando" a que abre, pois caso algum script tente varrer as portas abertas ele ira abrir a automaticamente fechar a 22.
-- Att,
André Felício http://www.felicio.com.br
It's ten o'clock. Do you know where your source code is?
-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
yum install denyhosts -- " Debian é uma palavra venusiana para : gere suas chaves em outra distro"
que o que rafael??? não vejo necessidade de criar em todos os servidores vpn para acesso remoto hehehe. Acho que seria somente criar segurança no proprio ssh. A inclusive o proprio ssh tem protocolos que funcionam tipo vpns pelo que li recentemente.
2008/6/3 Rafael Gomes linux.rafa@gmail.com:
Eu ainda sou afavor de vpn! Simples e direta! Openvpn! Tranquilidade com um certificado de 2048! Pronto! :D
2008/6/2 André Felício andre@felicio.com.br:
Rau,
É um ataque de força bruta em SSH, "campeão de audiência" na internet brasileira (veja http://www.cert.br/stats/incidentes/2008-jan-mar/scan-portas.html)
Campeão mesmo...
São robots que vasculham a internet atrás de portas 22 abertas e quando acham, ficam tentando encontrar a senha usando palavras de dicionário e outras combinações (ella, elle, consuella, etc, conforme mostra teu log). Se você usa senhas fortes, o risco de sucesso do ataque é menor.
Se você não precisa do SSH, desabilite o deamon.
Uma boa pedida é um simples port-knock,
Exemplo alterando o script gerado pelo system-config-firewall:
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 22 --state NEW -j ACCEPT --rcheck --name SSH
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1599 --state NEW -j DROP --name SSH --remove -A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1600 --state NEW -j DROP --name SSH --set -A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1601 --state NEW -j DROP --name SSH --remove
Assim a porta 22 sempre estara fechada. Para abrir basta qualquer tentativa de conexão na porta 1600 e para fecha-la basta outra tentativa de conexão nas portas 1599/1601.
Gosto de utilizar as portas que fecham "cercando" a que abre, pois caso algum script tente varrer as portas abertas ele ira abrir a automaticamente fechar a 22.
-- Att,
André Felício http://www.felicio.com.br
It's ten o'clock. Do you know where your source code is?
-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
-- Rafael Gomes Consultor em TI Embaixador Fedora (71) 8146-5772 -- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
Não precisa colocar em todos servidores. Já que geralmente eles participam de uma rede local. Uma vez a conexão vpn estabelecida, terá acesso a todos eles.
Senão for implementado algo como Port Knocking ou afins... simplesmente colocar senha forte ou mudar a porta do ssh não resolve um problema clássico. Brutal Force! Algo que depende apenas de tempo e processamento do atacante.
Com conexão vpn via troca de certificado diminui e muito o problema com a segurança. Isso sem falar que não é tão complicado!
Até!
2008/6/3 Cristiano Furtado jasonnfedora@gmail.com:
que o que rafael??? não vejo necessidade de criar em todos os servidores vpn para acesso remoto hehehe. Acho que seria somente criar segurança no proprio ssh. A inclusive o proprio ssh tem protocolos que funcionam tipo vpns pelo que li recentemente.
2008/6/3 Rafael Gomes linux.rafa@gmail.com:
Eu ainda sou afavor de vpn! Simples e direta! Openvpn! Tranquilidade com
um
certificado de 2048! Pronto! :D
2008/6/2 André Felício andre@felicio.com.br:
Rau,
É um ataque de força bruta em SSH, "campeão de audiência" na internet brasileira (veja http://www.cert.br/stats/incidentes/2008-jan-mar/scan-portas.html)
Campeão mesmo...
São robots que vasculham a internet atrás de portas 22 abertas e
quando
acham, ficam tentando encontrar a senha usando palavras de dicionário
e
outras combinações (ella, elle, consuella, etc, conforme mostra teu log). Se você usa senhas fortes, o risco de sucesso do ataque é menor.
Se você não precisa do SSH, desabilite o deamon.
Uma boa pedida é um simples port-knock,
Exemplo alterando o script gerado pelo system-config-firewall:
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 22
--state
NEW -j ACCEPT --rcheck --name SSH
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1599 --state NEW -j DROP --name SSH --remove -A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1600 --state NEW -j DROP --name SSH --set -A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1601 --state NEW -j DROP --name SSH --remove
Assim a porta 22 sempre estara fechada. Para abrir basta qualquer tentativa de conexão na porta 1600 e para fecha-la basta outra tentativa de conexão nas portas 1599/1601.
Gosto de utilizar as portas que fecham "cercando" a que abre, pois caso algum script tente varrer as portas abertas ele ira abrir a automaticamente fechar a 22.
-- Att,
André Felício http://www.felicio.com.br
It's ten o'clock. Do you know where your source code is?
-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
-- Rafael Gomes Consultor em TI Embaixador Fedora (71) 8146-5772 -- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
-- Cristiano Furtado Gerente de TI - Projetos de Software Livre Embaixador do Fedora no Brasil
Sites: http://www.projetofedora.org http://www.jasonnfedora.eti.br http://www.fedora.org.br http://www.ekaaty.com.br
-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
Olá pessoal!!! Gostaria de dar um palpite aí, esse lance de tentativa de invasão é algum comum, se vc logar todos os registros, vai ver diversas tentativas de invasão, existem centenas de tentativas de acessos, coloca um snort da vida pra ver, e com o ssh não é diferente, agora a questão é:
- O cara conseguiu invadir? Se foi esse o caso, na minha opinião, radical :) copie seus arquivos de configuração e faz tudo novamente.
- O cara não conseguiu invadir? Se vc realmente precisa do SSH aberto para o mundo, pelo menos limita o acesso, eu encontrei a um tempo atrás umas regras que ajudam nessa tarefa, bloqueia depois da quarta tentativa sem sucesso
/sbin/iptables -N BLOQUEIA-SSH /sbin/iptables -A BLOQUEIA-SSH -j LOG --log-prefix SSH-Bruteforce: /sbin/iptables -A BLOQUEIA-SSH -j DROP /sbin/iptables -A BLOQUEIA-SSH -j DROP -m recent --rcheck --name SSH --seconds 60 --hitcount 10 /sbin/iptables -A BLOQUEIA-SSH -j REJECT -p tcp --reject-with tcp-reset /sbin/iptables -A BLOQUEIA-SSH -j REJECT /sbin/iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --name SSH --seconds 60 --hitcount 4 -j BLOQUEIA-SSH /sbin/iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
Valeu, Toni
--- Rafael Gomes linux.rafa@gmail.com escreveu:
Não precisa colocar em todos servidores. Já que geralmente eles participam de uma rede local. Uma vez a conexão vpn estabelecida, terá acesso a todos eles.
Senão for implementado algo como Port Knocking ou afins... simplesmente colocar senha forte ou mudar a porta do ssh não resolve um problema clássico. Brutal Force! Algo que depende apenas de tempo e processamento do atacante.
Com conexão vpn via troca de certificado diminui e muito o problema com a segurança. Isso sem falar que não é tão complicado!
Até!
2008/6/3 Cristiano Furtado jasonnfedora@gmail.com:
que o que rafael??? não vejo necessidade de criar
em todos os
servidores vpn para acesso remoto hehehe. Acho que
seria somente criar
segurança no proprio ssh. A inclusive o proprio
ssh tem protocolos que
funcionam tipo vpns pelo que li recentemente.
2008/6/3 Rafael Gomes linux.rafa@gmail.com:
Eu ainda sou afavor de vpn! Simples e direta!
Openvpn! Tranquilidade com
um
certificado de 2048! Pronto! :D
2008/6/2 André Felício andre@felicio.com.br:
Rau,
É um ataque de força bruta em SSH, "campeão
de audiência" na internet
brasileira (veja
http://www.cert.br/stats/incidentes/2008-jan-mar/scan-portas.html)
Campeão mesmo...
São robots que vasculham a internet atrás de
portas 22 abertas e
quando
acham, ficam tentando encontrar a senha
usando palavras de dicionário
e
outras combinações (ella, elle, consuella,
etc, conforme mostra teu
log). Se você usa senhas fortes, o risco de sucesso
do ataque é menor.
Se você não precisa do SSH, desabilite o
deamon.
Uma boa pedida é um simples port-knock,
Exemplo alterando o script gerado pelo
system-config-firewall:
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp
-m recent --dport 22
--state
NEW -j ACCEPT --rcheck --name SSH
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp
-m recent --dport 1599
--state NEW -j DROP --name SSH --remove -A RH-Firewall-1-INPUT -p tcp -m state -m tcp
-m recent --dport 1600
--state NEW -j DROP --name SSH --set -A RH-Firewall-1-INPUT -p tcp -m state -m tcp
-m recent --dport 1601
--state NEW -j DROP --name SSH --remove
Assim a porta 22 sempre estara fechada. Para abrir basta qualquer tentativa de conexão
na porta 1600 e para
fecha-la basta outra tentativa de conexão nas portas
1599/1601.
Gosto de utilizar as portas que fecham
"cercando" a que abre, pois caso
algum script tente varrer as portas abertas ele ira
abrir a automaticamente
fechar a 22.
-- Att,
André Felício http://www.felicio.com.br
It's ten o'clock. Do you know where your
source code is?
-- Fedora-users-br mailing list Fedora-users-br@redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
-- Rafael Gomes Consultor em TI Embaixador Fedora (71) 8146-5772 -- Fedora-users-br mailing list Fedora-users-br@redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
-- Cristiano Furtado Gerente de TI - Projetos de Software Livre Embaixador do Fedora no Brasil
Sites: http://www.projetofedora.org http://www.jasonnfedora.eti.br http://www.fedora.org.br http://www.ekaaty.com.br
-- Fedora-users-br mailing list Fedora-users-br@redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
-- Rafael Gomes Consultor em TI Embaixador Fedora (71) 8146-5772
--
Fedora-users-br mailing list Fedora-users-br@redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento! http://br.mail.yahoo.com/
Rau,
Senão for implementado algo como Port Knocking ou afins... simplesmente colocar senha forte ou mudar a porta do ssh não resolve um problema clássico. Brutal Force! Algo que depende apenas de tempo e processamento do atacante.
Como tentar "Brutal Force" no ssh se esta fechada no firewall?
O portknock resolve o problema de "Brutal Force", já que a porta relacionada ao serviço esta fechada pelo firewall.
André,
isso mesmo!
Olha o que eu falei,
Senão colocar Port Knocking, não resolve, sacou? rs Acho que não me expressei bem ali!
Em todo caso, ainda acho que segurança por obscuridade não é das melhores, mas é melhor que apenas utilizar senhas com a porta sempre aberta!
Eu ainda sou afavor do VPN com certificado. Ai sim, muito mais seguro! Claro que nunca é 100% né?
:P
2008/6/4 André Felício andre@felicio.com.br:
Rau,
Senão for implementado algo como Port Knocking ou afins... simplesmente colocar senha forte ou mudar a porta do ssh não resolve um problema clássico. Brutal Force! Algo que depende apenas de tempo e processamento
do
atacante.
Como tentar "Brutal Force" no ssh se esta fechada no firewall?
O portknock resolve o problema de "Brutal Force", já que a porta relacionada ao serviço esta fechada pelo firewall.
-- Att,
André Felício http://www.felicio.com.br
No animal should ever jump on the dining room furniture unless absolutely certain he can hold his own in conversation. -- Fran Lebowitz
-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
br-users@lists.fedoraproject.org
-
André Felício -
Cristiano Furtado -
Devair Linux -
Fernando Silva -
Gustavo Picoloto -
Otto Fuchshuber Filho -
Rafael Gomes -
Toni Borges