[Fedora-users-br] Tentativa de Invasão em Servidor
André Felício
andre em felicio.com.br
Terça Junho 3 02:27:54 UTC 2008
Rau,
> É um ataque de força bruta em SSH, "campeão de audiência" na internet
> brasileira (veja
> http://www.cert.br/stats/incidentes/2008-jan-mar/scan-portas.html)
Campeão mesmo...
> São robots que vasculham a internet atrás de portas 22 abertas e quando
> acham, ficam tentando encontrar a senha usando palavras de dicionário e
> outras combinações (ella, elle, consuella, etc, conforme mostra teu log).Â
> Se você usa senhas fortes, o risco de sucesso do ataque é menor.
>
> Se você não precisa do SSH, desabilite o deamon.
Uma boa pedida é um simples port-knock,
Exemplo alterando o script gerado pelo system-config-firewall:
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 22 --state
NEW -j ACCEPT --rcheck --name SSH
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1599 --state
NEW -j DROP --name SSH --remove
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1600 --state
NEW -j DROP --name SSH --set
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1601 --state
NEW -j DROP --name SSH --remove
Assim a porta 22 sempre estara fechada.
Para abrir basta qualquer tentativa de conexão na porta 1600 e para fecha-la
basta outra tentativa de conexão nas portas 1599/1601.
Gosto de utilizar as portas que fecham "cercando" a que abre, pois caso algum
script tente varrer as portas abertas ele ira abrir a automaticamente fechar
a 22.
--
Att,
André FelÃcio
http://www.felicio.com.br
It's ten o'clock. Do you know where your source code is?
-------------- Próxima Parte ----------
Um anexo não texto foi limpo...
Nome : não disponÃvel
Tipo : application/pgp-signature
Tam : 827 bytes
Descr.: This is a digitally signed message part.
Url : http://lists.fedoraproject.org/pipermail/br-users/attachments/20080602/bf7ccec1/attachment.bin
Mais detalhes sobre a lista de discussão br-users