Eu ainda sou afavor de vpn! Simples e direta! Openvpn! Tranquilidade com um certificado de 2048! Pronto! :D<br><br><div class="gmail_quote">2008/6/2 André Felício <<a href="mailto:andre@felicio.com.br">andre@felicio.com.br</a>>:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Rau,<br>
<div class="Ih2E3d"><br>
>  É um ataque de força bruta em SSH, "campeão de audiência" na internet<br>
> brasileira (veja<br>
> <a href="http://www.cert.br/stats/incidentes/2008-jan-mar/scan-portas.html" target="_blank">http://www.cert.br/stats/incidentes/2008-jan-mar/scan-portas.html</a>)<br>
<br>
</div>Campeão mesmo...<br>
<div class="Ih2E3d"><br>
>  São robots que vasculham a internet atrás de portas 22 abertas e quando<br>
> acham, ficam tentando encontrar a senha usando palavras de  dicionário e<br>
> outras combinações (ella, elle, consuella, etc, conforme mostra teu log). <br>
> Se você usa senhas fortes, o risco de sucesso do ataque é menor.<br>
><br>
>  Se você não precisa do SSH, desabilite o deamon.<br>
<br>
</div>Uma boa pedida é um simples port-knock,<br>
<br>
Exemplo alterando o script gerado pelo system-config-firewall:<br>
<br>
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 22 --state<br>
NEW -j ACCEPT  --rcheck --name SSH<br>
<br>
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1599 --state<br>
NEW -j DROP  --name SSH --remove<br>
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1600 --state<br>
NEW -j DROP  --name SSH --set<br>
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1601 --state<br>
NEW -j DROP  --name SSH --remove<br>
<br>
<br>
Assim a porta 22 sempre estara fechada.<br>
Para abrir basta qualquer tentativa de conexão na porta 1600 e para fecha-la<br>
basta outra tentativa de conexão nas portas 1599/1601.<br>
<br>
Gosto de utilizar as portas que fecham "cercando" a que abre, pois caso algum<br>
script tente varrer as portas abertas ele ira abrir a automaticamente fechar<br>
a 22.<br>
<font color="#888888"><br>
--<br>
Att,<br>
<br>
André Felício<br>
<a href="http://www.felicio.com.br" target="_blank">http://www.felicio.com.br</a><br>
<br>
 It's ten o'clock. Do you know where your source code is?<br>
</font><br>--<br>
Fedora-users-br mailing list<br>
<a href="mailto:Fedora-users-br@redhat.com">Fedora-users-br@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/fedora-users-br" target="_blank">https://www.redhat.com/mailman/listinfo/fedora-users-br</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br>Rafael Gomes<br>Consultor em TI<br>Embaixador Fedora<br>(71) 8146-5772