[Fedora-users-br] Tentativa de Invasão em Servidor
André Felício
andre em felicio.com.br
Ter Jun 3 02:27:54 UTC 2008
Rau,
> É um ataque de força bruta em SSH, "campeão de audiência" na internet
> brasileira (veja
> http://www.cert.br/stats/incidentes/2008-jan-mar/scan-portas.html)
Campeão mesmo...
> São robots que vasculham a internet atrás de portas 22 abertas e quando
> acham, ficam tentando encontrar a senha usando palavras de dicionário e
> outras combinações (ella, elle, consuella, etc, conforme mostra teu log).
> Se você usa senhas fortes, o risco de sucesso do ataque é menor.
>
> Se você não precisa do SSH, desabilite o deamon.
Uma boa pedida é um simples port-knock,
Exemplo alterando o script gerado pelo system-config-firewall:
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 22 --state
NEW -j ACCEPT --rcheck --name SSH
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1599 --state
NEW -j DROP --name SSH --remove
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1600 --state
NEW -j DROP --name SSH --set
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1601 --state
NEW -j DROP --name SSH --remove
Assim a porta 22 sempre estara fechada.
Para abrir basta qualquer tentativa de conexão na porta 1600 e para fecha-la
basta outra tentativa de conexão nas portas 1599/1601.
Gosto de utilizar as portas que fecham "cercando" a que abre, pois caso algum
script tente varrer as portas abertas ele ira abrir a automaticamente fechar
a 22.
--
Att,
André Felício
http://www.felicio.com.br
It's ten o'clock. Do you know where your source code is?
-------------- Próxima Parte ----------
Um anexo não-texto foi limpo...
Nome: signature.asc
Tipo: application/pgp-signature
Tamanho: 827 bytes
Descrição: This is a digitally signed message part.
URL: <http://listman.redhat.com/archives/fedora-users-br/attachments/20080602/bf7ccec1/attachment.sig>
Mais detalhes sobre a lista de discussão Fedora-users-br