Re: [Fedora-users-br] Tentativa de Invasão em Servidor

Quarta Junho 4 00:02:27 UTC 2008

Olá pessoal!!!
Gostaria de dar um palpite aí, esse lance de tentativa
de invasão é algum comum, se vc logar todos os
registros, vai ver diversas tentativas de invasão,
existem centenas de tentativas de acessos, coloca um
snort da vida pra ver, e com o ssh não é diferente,
agora a questão é:

- O cara conseguiu invadir?
Se foi esse o caso, na minha opinião, radical :) copie
seus arquivos de configuração e faz tudo novamente.

- O cara não conseguiu invadir?
Se vc realmente precisa do SSH aberto para o mundo,
pelo menos limita o acesso, eu encontrei a um tempo
atrás umas regras que ajudam nessa tarefa, bloqueia
depois da quarta tentativa sem sucesso

/sbin/iptables -N BLOQUEIA-SSH
/sbin/iptables -A BLOQUEIA-SSH -j LOG --log-prefix
SSH-Bruteforce:
/sbin/iptables -A BLOQUEIA-SSH -j DROP
/sbin/iptables -A BLOQUEIA-SSH -j DROP -m recent
--rcheck --name SSH --seconds 60 --hitcount 10
/sbin/iptables -A BLOQUEIA-SSH -j REJECT -p tcp
--reject-with tcp-reset
/sbin/iptables -A BLOQUEIA-SSH -j REJECT
/sbin/iptables -A INPUT -p tcp --dport 22 -m state
--state NEW -m recent --update --name SSH --seconds 60
--hitcount 4 -j BLOQUEIA-SSH
/sbin/iptables -A INPUT -p tcp --dport 22 -m state
--state NEW -m recent --set --name SSH

Valeu,
Toni

--- Rafael Gomes <linux.rafa em gmail.com> escreveu:

> Não precisa colocar em todos servidores. Já que
> geralmente eles participam
> de uma rede local. Uma vez a conexão vpn
> estabelecida, terá acesso a todos
> eles.
> 
> Senão for implementado algo como Port Knocking ou
> afins... simplesmente
> colocar senha forte ou mudar a porta do ssh não
> resolve um problema
> clássico. Brutal Force! Algo que depende apenas de
> tempo e processamento do
> atacante.
> 
> Com conexão vpn via troca de certificado diminui e
> muito o problema com a
> segurança. Isso sem falar que não é tão complicado!
> 
> Até!
> 
> 2008/6/3 Cristiano Furtado <jasonnfedora em gmail.com>:
> 
> > que o que rafael??? não vejo necessidade de criar
> em todos os
> > servidores vpn para acesso remoto hehehe. Acho que
> seria somente criar
> > segurança no proprio ssh. A inclusive o proprio
> ssh tem protocolos que
> > funcionam tipo vpns pelo que li recentemente.
> >
> > 2008/6/3 Rafael Gomes <linux.rafa em gmail.com>:
> > > Eu ainda sou afavor de vpn! Simples e direta!
> Openvpn! Tranquilidade com
> > um
> > > certificado de 2048! Pronto! :D
> > >
> > > 2008/6/2 André Felício <andre em felicio.com.br>:
> > >>
> > >> Rau,
> > >>
> > >> >  É um ataque de força bruta em SSH, "campeão
> de audiência" na internet
> > >> > brasileira (veja
> > >> >
>
http://www.cert.br/stats/incidentes/2008-jan-mar/scan-portas.html)
> > >>
> > >> Campeão mesmo...
> > >>
> > >> >  São robots que vasculham a internet atrás de
> portas 22 abertas e
> > quando
> > >> > acham, ficam tentando encontrar a senha
> usando palavras de  dicionário
> > e
> > >> > outras combinações (ella, elle, consuella,
> etc, conforme mostra teu
> > >> > log).
> > >> > Se você usa senhas fortes, o risco de sucesso
> do ataque é menor.
> > >> >
> > >> >  Se você não precisa do SSH, desabilite o
> deamon.
> > >>
> > >> Uma boa pedida é um simples port-knock,
> > >>
> > >> Exemplo alterando o script gerado pelo
> system-config-firewall:
> > >>
> > >> -A RH-Firewall-1-INPUT -p tcp -m state -m tcp
> -m recent --dport 22
> > --state
> > >> NEW -j ACCEPT  --rcheck --name SSH
> > >>
> > >> -A RH-Firewall-1-INPUT -p tcp -m state -m tcp
> -m recent --dport 1599
> > >> --state
> > >> NEW -j DROP  --name SSH --remove
> > >> -A RH-Firewall-1-INPUT -p tcp -m state -m tcp
> -m recent --dport 1600
> > >> --state
> > >> NEW -j DROP  --name SSH --set
> > >> -A RH-Firewall-1-INPUT -p tcp -m state -m tcp
> -m recent --dport 1601
> > >> --state
> > >> NEW -j DROP  --name SSH --remove
> > >>
> > >>
> > >> Assim a porta 22 sempre estara fechada.
> > >> Para abrir basta qualquer tentativa de conexão
> na porta 1600 e para
> > >> fecha-la
> > >> basta outra tentativa de conexão nas portas
> 1599/1601.
> > >>
> > >> Gosto de utilizar as portas que fecham
> "cercando" a que abre, pois caso
> > >> algum
> > >> script tente varrer as portas abertas ele ira
> abrir a automaticamente
> > >> fechar
> > >> a 22.
> > >>
> > >> --
> > >> Att,
> > >>
> > >> André Felício
> > >> http://www.felicio.com.br
> > >>
> > >>  It's ten o'clock. Do you know where your
> source code is?
> > >>
> > >> --
> > >> Fedora-users-br mailing list
> > >> Fedora-users-br em redhat.com
> > >>
>
https://www.redhat.com/mailman/listinfo/fedora-users-br
> > >>
> > >
> > >
> > >
> > > --
> > > Rafael Gomes
> > > Consultor em TI
> > > Embaixador Fedora
> > > (71) 8146-5772
> > > --
> > > Fedora-users-br mailing list
> > > Fedora-users-br em redhat.com
> > >
>
https://www.redhat.com/mailman/listinfo/fedora-users-br
> > >
> > >
> >
> >
> >
> > --
> > Cristiano Furtado
> > Gerente de TI - Projetos de Software Livre
> > Embaixador do Fedora no Brasil
> >
> > Sites:
> > http://www.projetofedora.org
> > http://www.jasonnfedora.eti.br
> > http://www.fedora.org.br
> > http://www.ekaaty.com.br
> >
> > --
> > Fedora-users-br mailing list
> > Fedora-users-br em redhat.com
> >
>
https://www.redhat.com/mailman/listinfo/fedora-users-br
> >
> 
> 
> 
> -- 
> Rafael Gomes
> Consultor em TI
> Embaixador Fedora
> (71) 8146-5772
> > --
> Fedora-users-br mailing list
> Fedora-users-br em redhat.com
>
https://www.redhat.com/mailman/listinfo/fedora-users-br
> 

      Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento!
http://br.mail.yahoo.com/