[Fedora-users-br] Tentativa de Invasão em Servidor

[André Felício]

Rau,

>  É um ataque de força bruta em SSH, "campeão de audiência" na internet
> brasileira (veja
> http://www.cert.br/stats/incidentes/2008-jan-mar/scan-portas.html)

Campeão mesmo...

>  São robots que vasculham a internet atrás de portas 22 abertas e quando
> acham, ficam tentando encontrar a senha usando palavras de  dicionário e
> outras combinações (ella, elle, consuella, etc, conforme mostra teu log). 
> Se você usa senhas fortes, o risco de sucesso do ataque é menor.
>
>  Se você não precisa do SSH, desabilite o deamon.

Uma boa pedida é um simples port-knock,

Exemplo alterando o script gerado pelo system-config-firewall:

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 22 --state 
NEW -j ACCEPT  --rcheck --name SSH

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1599 --state 
NEW -j DROP  --name SSH --remove
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1600 --state 
NEW -j DROP  --name SSH --set
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1601 --state 
NEW -j DROP  --name SSH --remove


Assim a porta 22 sempre estara fechada.
Para abrir basta qualquer tentativa de conexão na porta 1600 e para fecha-la 
basta outra tentativa de conexão nas portas 1599/1601.

Gosto de utilizar as portas que fecham "cercando" a que abre, pois caso algum 
script tente varrer as portas abertas ele ira abrir a automaticamente fechar 
a 22.

-- 
Att,

André Felício
http://www.felicio.com.br

 It's ten o'clock. Do you know where your source code is?
-------------- Próxima Parte ----------
Um anexo não texto foi limpo...
Nome  : não disponível
Tipo  : application/pgp-signature
Tam   : 827 bytes
Descr.: This is a digitally signed message part.
Url   : http://lists.fedoraproject.org/pipermail/br-users/attachments/20080602/bf7ccec1/attachment.bin