<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type"> </head> <body bgcolor="#ffffff" text="#000000"> É um ataque de força bruta em SSH, "campeão de audiência" na internet brasileira (veja <a class="moz-txt-link-freetext" href="http://www.cert.br/stats/incidentes/2008-jan-mar/scan-portas.html">http://www.cert.br/stats/incidentes/2008-jan-mar/scan-portas.html</a>) São robots que vasculham a internet atrás de portas 22 abertas e quando acham, ficam tentando encontrar a senha usando palavras de dicionário e outras combinações (ella, elle, consuella, etc, conforme mostra teu log). Se você usa senhas fortes, o risco de sucesso do ataque é menor. Se você não precisa do SSH, desabilite o deamon. Se não precisa do SSH para acesso a partir da Internet, configure seu firewall adequadamente pois já que está aparecendo no log, ele não está bloqueando como você pensa. Se precisa do SSH para acesso a partir da Internet, uma alternativa é trocar a porta. Fiz isto no meu servidor particular e os ataques pararam pois os robots via de regra procuram pela porta 22. O inconveniente é que todos que precisarem acessar o servidor por SSH precisam saber a porta que está sendo utilizada. Outra alternativa é habilitar acesso SSH somente por combinação de chaves pública-privada, isto é, não usar chave/senha. O incoveniente é que você terá que importar as chaves para qualquer máquina que precise fazer acesso SSH ao servidor. Observar que esta opção não vai interromper os ataques, ocupando sua banda (por isto no meu caso optei por trocar a porta). Já quanto a quem reclamar, você pode ver são os donos dos IPs de origem em <a class="moz-txt-link-freetext" href="http://www.geektools.com/whois.php">http://www.geektools.com/whois.php</a> e mandar uma mensagem denunciando para o(s) email(s) indicados. No IP que está no seu log, o ataque vem da China (país campeão de ataques). Mas acho que você vai acabar cansando de reclamar. <pre class="moz-signature" cols="65">Saudações, Otto Fuchshuber Filho <a class="moz-txt-link-abbreviated" href="mailto:o2to2f@gmail.com">o2to2f@gmail.com</a></pre> Devair Linux escreveu, Em 02-06-2008 22:22: <blockquote cite="mid:00d701c8c518$3bcb3800$0301010a@estudio" type="cite">Bom dia! Em um servidor meu observei no log que tem alguem tentando, pois a mensagem abaixo se estende por quase 5 horas direto, as portas do ssh e telnet estão fechadas no firewall, eu uso speedy busynes da telefonica. Voces sabem quais medidas se tomar para resolver este problema, denuncia a policia. Não tenho a minima ideia do que Fazer? Alguem poderia me instruir? Obrigado Devair Jun 2 11:56:30 Server-Dados sshd[19074]: Invalid user ella from 125.71.218.80 Jun 2 11:56:35 Server-Dados sshd[19078]: Invalid user elle from 125.71.218.80 Jun 2 11:56:36 Server-Dados sshd[19076]: Invalid user consuela from 125.71.218.80 Jun 2 11:56:41 Server-Dados sshd[19080]: Invalid user ellen from 125.71.218.80 Jun 2 11:56:41 Server-Dados sshd[19081]: Invalid user consuelo from 125.71.218.80 Jun 2 11:56:46 Server-Dados sshd[19084]: Invalid user elliot from 125.71.218.80 Jun 2 11:56:47 Server-Dados sshd[19085]: Invalid user content from 125.71.218.80 Jun 2 11:56:51 Server-Dados sshd[19088]: Invalid user elvis from 125.71.218.80 -- Fedora-users-br mailing list <a class="moz-txt-link-abbreviated" href="mailto:Fedora-users-br@redhat.com">Fedora-users-br@redhat.com</a> <a class="moz-txt-link-freetext" href="https://www.redhat.com/mailman/listinfo/fedora-users-br">https://www.redhat.com/mailman/listinfo/fedora-users-br</a> </blockquote> </body> </html>