Pessoal estou precisando de ajuda urgente, tem Hackers invadindo minhas Rbs e fazendo a maior bagunça como posso evitar que isto ocorra, só quero trabalhar em Paz e não estou conseguindo acho que é a mando de concorrentes, mas não posso afirmar nada. ?
Por favor me ajudem.
Vejam as imagens.
Esta chegando estas mensagens no meu E-mail
Caro responsavel,
O IP presente nos logs abaixo e' um servidor DNS recursivo aberto sob
sua responsabilidade. Este servidor pode ser vitima de ataques de
envenenamento de cache ou ser abusado para ataques de negacao de
servico, consumindo recursos da sua rede.
Gostariamos de solicitar que:
* O servidor DNS listado seja configurado de modo a corrigir este
problema.
Uma descricao do problema e possiveis solucoes podem ser
encontradas em:
http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
========================================================================
# inicio do log.
# Legenda:
# IP: IP do servidor DNS recursivo aberto
# ASN: Autonomous System (AS) a que pertence IP
# status: OPEN, o IP e' um servidor DNS recursivo aberto
# data: momento em que IP foi testado (yyyy-mm-dd hh:mm:ss, timezone UTC)
# IP | ASN | status | data
200.202.204.105 | 52932 | OPEN | 2013-04-02 05:05:15 +0000
# fim do log.
========================================================================
Respostas
Por Favor Pessoal.
Pessoal vamos dar uma estudada para ajudar nosso amigo. E quem já teve este problema, poste a solução para poder resolver o mesmo.
Ajudem pessoal !
Boa noite tb recebi esses email mas nada aconteceu com minhas rbs ainda rsrs
gostaria de saber pq o cert. esta mando esses emails pra todos
Não estou achando nada na internet para sanar o problema, Pedro se Estiver passando por ai, tem como me dar uma Luz, pois se Firewall passou pelos testes.
Rafael da silva WIB INTERNET disse:
uma dica, pra vc se prevenir e trocar todas portas padrão de acesso a rb. Não evita tudo mas ja ajuda.
tipo a porta ssh 22 vc pode por 222 ou outra diferente. cara muda todas a senha suas, e apaga se tiver o user admin.
Amigo, suas rb nao forma invadida ainda, a mensagem significa que o registro BR esta fazendo uma varredura em todos ip e testando o DNS reverso e vendo os que tem falha e informando aos usuarios.
Por enquanto é so um aviso, logo abaixo eles mando um link para voce entender
Na verdade você tem 2 problemas separados.
O do e-mail é que seu servidor DNS está respondendo solicitações externas.
Basta um drop nas portas 53/udp e 53/udp da sua interface externa.
Quando ao cara que logou na sua RB, ele precisou dos dados de login.
Pode ser que alguma senha padrão tenha sido acidentalmente deixada(admin/sem senha), que ele tenha usado um ataque de força bruta(tentando milhares de senhas) ou que ele tenha capturado sua senha "no ar", enquanto estava sendo transmitida de forma insegura(Winbox com seguraça desativada ou telnet).
Basicamente, é isso.
Edit: sempre desabilite FTP e Telnet das RBs. Se precisar do FTP, ative por Winbox/SSH, use e desative.
Telnet, sempre desligado. Use regras para proteger de ataques brute-force via FTP(se precisar deixar aberto indefinidamente) e/ou SSH:
http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention
Ou ainda algum ex-funcionário descontente ou em outra hipótese, algum backup compartilhado, visto que se pode obter as senhas do admin facilmente por backup do mikrotik.
Paulo Vinicius disse:
Amigo muito obrigado pelas dicas, foram de muita ajuda, vou seguir todas elas, se alguem tiver mais algumas dicas serâo bem vindas.
Paulo Vinicius disse:
Outra, roubando o certificado SSH do MK-AUTH(chave.pub) você pode acessar qualquer RB se o usuário mkauth não estiver configurado para ser aceito somente do IP do MK-AUTH.
-
1
-
2
de 2 Próximo