Olá pessoal, estava analisando o log do meu MK e vi que alguem tinha tentado invadir via ssh. Em anexo tem uma imagem do log.
Mais alguem passou por isso? Alguem que queira comentar sobre fique avontade.
já passei milhares de vezes, por isso é bom vc criar tb em seu firewall uma regra para permitir somente conexão ssh para ip's que vc cadastrar ou uma que bloqueia um ip que tenha acesso negado varias vezes em seguidas.
isso não é novidade ! sempre tem pelo jeito é brutal force não é uma pessoa,
ip internacional.
coloca isso que ele faz uma lista negra e joga o ip na lista,
se vc não usa ssh desabilita em ip>services
ou troca a porta padrão
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
add action=drop chain=input comment="DROP SSH BRUTE FORCERS ( BLACK LIST )" \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=4w2d chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp
add action=drop chain=input comment="BLOQUEIO SSH - PORT 22-23" disabled=no \
dst-port=22-23 protocol=tcp
já passei milhares de vezes, por isso é bom vc criar tb em seu firewall uma regra para permitir somente conexão ssh para ip's que vc cadastrar ou uma que bloqueia um ip que tenha acesso negado varias vezes em seguidas.
É o seguinte eu coloquei essa regra para bloquear a porta ssh 22 23, porém esta bloqueando o mk-auth pois ele se comunica com mikrotik atraves dessa, então pensei será que tem um jeito de deixar passar o trafego apenas do ip do mk-auth, ou do mk-auth ???
PROVELINK disse:
isso não é novidade ! sempre tem pelo jeito é brutal force não é uma pessoa, ip internacional. coloca isso que ele faz uma lista negra e joga o ip na lista, se vc não usa ssh desabilita em ip>services ou troca a porta padrão /ip firewall filter add action=passthrough chain=unused-hs-chain comment=\ "place hotspot rules here" disabled=yes add action=drop chain=input comment="DROP SSH BRUTE FORCERS ( BLACK LIST )" \ disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=4w2d chain=input comment="" connection-state=new \ disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 \ address-list-timeout=1m chain=input comment="" connection-state=new \ disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 \ address-list-timeout=1m chain=input comment="" connection-state=new \ disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 \ address-list-timeout=1m chain=input comment="" connection-state=new \ disabled=no dst-port=22 protocol=tcp add action=drop chain=input comment="BLOQUEIO SSH - PORT 22-23" disabled=no \ dst-port=22-23 protocol=tcp
essas regras nao vao bloquear o acesso via ssh do mk-auth?
até mais
PROVELINK disse:
isso não é novidade ! sempre tem pelo jeito é brutal force não é uma pessoa, ip internacional. coloca isso que ele faz uma lista negra e joga o ip na lista,
se vc não usa ssh desabilita em ip>services
ou troca a porta padrão
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
add action=drop chain=input comment="DROP SSH BRUTE FORCERS ( BLACK LIST )" \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=4w2d chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp
add action=drop chain=input comment="BLOQUEIO SSH - PORT 22-23" disabled=no \
dst-port=22-23 protocol=tcp
elas vão colocar os ips que estão errando a senha em umas lista negra .
linuxerbel disse:
Amigos,
essas regras nao vao bloquear o acesso via ssh do mk-auth?
até mais
PROVELINK disse:
isso não é novidade ! sempre tem pelo jeito é brutal force não é uma pessoa, ip internacional. coloca isso que ele faz uma lista negra e joga o ip na lista, se vc não usa ssh desabilita em ip>services ou troca a porta padrão /ip firewall filter add action=passthrough chain=unused-hs-chain comment=\ "place hotspot rules here" disabled=yes add action=drop chain=input comment="DROP SSH BRUTE FORCERS ( BLACK LIST )" \ disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=4w2d chain=input comment="" connection-state=new \ disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 \ address-list-timeout=1m chain=input comment="" connection-state=new \ disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 \ address-list-timeout=1m chain=input comment="" connection-state=new \ disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 \ address-list-timeout=1m chain=input comment="" connection-state=new \ disabled=no dst-port=22 protocol=tcp add action=drop chain=input comment="BLOQUEIO SSH - PORT 22-23" disabled=no \ dst-port=22-23 protocol=tcp
Eu uso aqui um maneira mais facil, vou em ip/service list e especifico os ips que podem se logar no mikrotik por ssh, no usuario do mkauth eu tambem determino que so o ip do mkauth pode se logar por aquele usuario, pronto fica tudo tranquilo...
opa vejam o log do meu mikrotik hoje e o ip é internacional.
Alguma ideia?
Será que se eu colocar as regras postadas aqui vai dar algum problema na rede?
20:51:43 system,error,critical login failure for user root from 183.82.99.66 via ssh 20:51:47 system,error,critical login failure for user root from 183.82.99.66 via ssh 20:51:51 system,error,critical login failure for user root from 183.82.99.66 via ssh
Respostas
ip internacional.
coloca isso que ele faz uma lista negra e joga o ip na lista,
se vc não usa ssh desabilita em ip>services
ou troca a porta padrão
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
add action=drop chain=input comment="DROP SSH BRUTE FORCERS ( BLACK LIST )" \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=4w2d chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input comment="" connection-state=new \
disabled=no dst-port=22 protocol=tcp
add action=drop chain=input comment="BLOQUEIO SSH - PORT 22-23" disabled=no \
dst-port=22-23 protocol=tcp
Pedro Filho disse:
PROVELINK disse:
essas regras nao vao bloquear o acesso via ssh do mk-auth?
até mais
PROVELINK disse:
linuxerbel disse:
opa vejam o log do meu mikrotik hoje e o ip é internacional.
Alguma ideia?
Será que se eu colocar as regras postadas aqui vai dar algum problema na rede?