Forum

Ataque via ssh

Postado por George em 23 de Abril de 2010 às 11:50pm
pedro estou com problemas de tentativas de invasão via ssh, queria saber se teria como mudar a porta e mudar no mk-auth? ou alguma outra alternativa!!!

pois estou tendo problemas demais com isso, o log está vermelhinho!!!!


desde já agradeço!

Sem título.jpg

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Marcações: ataque, regra, ssh
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Rodrigo Hº Souza 24 de Abril de 2010 as 1:26am
    Eu tb estou tendo problema com isso amigo.....favor muda pedro namoral.
  • Alicson R. Miranda 24 de Abril de 2010 as 2:37am
    Não crie NAT FULL... Crie nat somente para as ranges de ip q podem receber internet...

    Nat para a range do mk-auth com os ip's comentados para pode passar os devidos ips dos clientes quando entrar na central do cliente, ex:

    add action=masquerade chain=srcnat comment="NAT POOL MK-AUTH" disabled=no \
    dst-address=!172.31.255.1-172.31.255.2 out-interface=LINK src-address=\
    172.31.255.0/30

    Nat para a range de seus clientes ex:

    add action=masquerade chain=srcnat comment="NAT POOL LOCAL" disabled=no \
    out-interface=LINK src-address=192.168.1.0/24

    desse jeito vc vai liberar internet só para os ips setados no nat...
    ai os ataques acabaram !!!!!!!...

    desabilite o nat full claro !!

    testa ai e postas resultados
  • George 24 de Abril de 2010 as 4:05am
    por enquanto está ok amanhã lhe posto mais resultados, chegue de uma Night muito boa agora! estou meio zonzo se é que me entende!!kkkkk

    desde já agradeço!!!

    ALICSON R. MIRANDA disse:
    Não crie NAT FULL... Crie nat somente para as ranges de ip q podem receber internet...

    Nat para a range do mk-auth com os ip's comentados para pode passar os devidos ips dos clientes quando entrar na central do cliente, ex:

    add action=masquerade chain=srcnat comment="NAT POOL MK-AUTH" disabled=no \
    dst-address=!172.31.255.1-172.31.255.2 out-interface=LINK src-address=\
    172.31.255.0/30

    Nat para a range de seus clientes ex:

    add action=masquerade chain=srcnat comment="NAT POOL LOCAL" disabled=no \
    out-interface=LINK src-address=192.168.1.0/24

    desse jeito vc vai liberar internet só para os ips setados no nat...
    ai os ataques acabaram !!!!!!!...

    desabilite o nat full claro !!

    testa ai e postas resultados
  • Geovane Martins 24 de Abril de 2010 as 6:00am
    Oi amigo, uma forma legal eh colocar as regras:

    /ip firewall filter
    add action=drop chain=input comment="Drop ssh brute forcers - SSH" disabled=\
    no dst-port=22 protocol=tcp src-address=!xxx.xxx.xxx.XXX src-address-list=\
    ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=5m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp

    Basicamente se houver 3 tentativas fracassadas ele bloqueia o IP, por 5 minutos no meu caso, exceto o IP XXx.xxx.xxx
    Tem gente que usa bloqueando por 24 horas.
    Tb adaptei o script para as outras portas, 80, 21, etc

    Rodrigo Hº Souza disse:
    Eu tb estou tendo problema com isso amigo.....favor muda pedro namoral.
  • George 24 de Abril de 2010 as 6:30pm
    é funciona mesmo, agora assim, vc tá ligado que tem a rede do mk-auth, e ai como fica, em relação a ordem das regras, porq ele bloqueou a minha rede do mk-auth, ai adicionei uma regra para liberar o range da mesma! estou em duvida em relação a ordem da mesma!

    Geovane Martins disse:
    Oi amigo, uma forma legal eh colocar as regras:

    /ip firewall filter
    add action=drop chain=input comment="Drop ssh brute forcers - SSH" disabled=\
    no dst-port=22 protocol=tcp src-address=!xxx.xxx.xxx.XXX src-address-list=\
    ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=5m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp

    Basicamente se houver 3 tentativas fracassadas ele bloqueia o IP, por 5 minutos no meu caso, exceto o IP XXx.xxx.xxx
    Tem gente que usa bloqueando por 24 horas.
    Tb adaptei o script para as outras portas, 80, 21, etc

    Rodrigo Hº Souza disse:
    Eu tb estou tendo problema com isso amigo.....favor muda pedro namoral.
  • Geovane Martins 24 de Abril de 2010 as 8:32pm
    A posição pode ser no inicio das suas regras do firewall, foi o que fiz, mas vc pode analisar e adaptar, qq coisa me adiciona no MSN - geovane @ sdnet . com . br

    George disse:
    é funciona mesmo, agora assim, vc tá ligado que tem a rede do mk-auth, e ai como fica, em relação a ordem das regras, porq ele bloqueou a minha rede do mk-auth, ai adicionei uma regra para liberar o range da mesma! estou em duvida em relação a ordem da mesma!

    Geovane Martins disse:
    Oi amigo, uma forma legal eh colocar as regras:

    /ip firewall filter
    add action=drop chain=input comment="Drop ssh brute forcers - SSH" disabled=\
    no dst-port=22 protocol=tcp src-address=!xxx.xxx.xxx.XXX src-address-list=\
    ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=5m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp

    Basicamente se houver 3 tentativas fracassadas ele bloqueia o IP, por 5 minutos no meu caso, exceto o IP XXx.xxx.xxx
    Tem gente que usa bloqueando por 24 horas.
    Tb adaptei o script para as outras portas, 80, 21, etc

    Rodrigo Hº Souza disse:
    Eu tb estou tendo problema com isso amigo.....favor muda pedro namoral.
  • Pedro Filho 24 de Abril de 2010 as 11:34pm
    cria uma regra que dropa o externo ssh na 22 e outra que redirecione entrada em uma outra porta para sua 22, tudo isso pode ser resolvido no mikrotik facilmente, tem outra regra que não lembro onde vi mais que dropa o ip apartir de 5 tetantivas invalidas e que tb é muito boa para isso ...
  • George 25 de Abril de 2010 as 12:33am
    já consegui resolver o problema!! valews ai!

    Pedro Filho disse:
    cria uma regra que dropa o externo ssh na 22 e outra que redirecione entrada em uma outra porta para sua 22, tudo isso pode ser resolvido no mikrotik facilmente, tem outra regra que não lembro onde vi mais que dropa o ip apartir de 5 tetantivas invalidas e que tb é muito boa para isso ...
  • George 27 de Abril de 2010 as 8:55pm
    aqui fiz o seguinte copiei a regra onde coloco a rede xxx.xxx.xxx.xxx como exessão, e fiz uma para a rede do mk-auth, mas tem horas que olho e a rede do mkauth está na a addresslist, em stage 1. como faço pra isso não acontecer??? outra coisa são 5 regras correto?, a que fica em primeiro é a que faz a exessão a rede?

    até mais!

    LiveNET Provedor disse:
    / ip firewall filter
    add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist \
    action=drop comment="Drop ssh brute forcers" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage1 action=add-src-to-address-list \
    address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage2 action=add-src-to-address-list \
    address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage3 action=add-src-to-address-list \
    address-list=ssh_blacklist address-list-timeout=4w2d comment="" \
    disabled=yes

    Pedro Filho disse:
    cria uma regra que dropa o externo ssh na 22 e outra que redirecione entrada em uma outra porta para sua 22, tudo isso pode ser resolvido no mikrotik facilmente, tem outra regra que não lembro onde vi mais que dropa o ip apartir de 5 tetantivas invalidas e que tb é muito boa para isso ...
  • Geovane Martins 27 de Abril de 2010 as 9:23pm
    Vamos lah..

    Eh normal estar na adresslist, ele soh não vai bloquear este IP na regra.
    Eh isso mesmo... a primeira eh dah drop, qdo tem mais de 3 tentativas sem sucesso...
    Vc tb pode adaptar para as outras portas, por exemplo a porta 23 de telnet, para isso eh soh substituir port=22 por port=23.
    Testa ai!!!

    George disse:
    aqui fiz o seguinte copiei a regra onde coloco a rede xxx.xxx.xxx.xxx como exessão, e fiz uma para a rede do mk-auth, mas tem horas que olho e a rede do mkauth está na a addresslist, em stage 1. como faço pra isso não acontecer??? outra coisa são 5 regras correto?, a que fica em primeiro é a que faz a exessão a rede?

    até mais!

    LiveNET Provedor disse:
    / ip firewall filter
    add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist \
    action=drop comment="Drop ssh brute forcers" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage1 action=add-src-to-address-list \
    address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage2 action=add-src-to-address-list \
    address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage3 action=add-src-to-address-list \
    address-list=ssh_blacklist address-list-timeout=4w2d comment="" \
    disabled=yes

    Pedro Filho disse:
    cria uma regra que dropa o externo ssh na 22 e outra que redirecione entrada em uma outra porta para sua 22, tudo isso pode ser resolvido no mikrotik facilmente, tem outra regra que não lembro onde vi mais que dropa o ip apartir de 5 tetantivas invalidas e que tb é muito boa para isso ...
This reply was deleted.