Forum

Ataque via ssh

Postado por George em 23 de Abril de 2010 às 23:50
pedro estou com problemas de tentativas de invasão via ssh, queria saber se teria como mudar a porta e mudar no mk-auth? ou alguma outra alternativa!!!

pois estou tendo problemas demais com isso, o log está vermelhinho!!!!


desde já agradeço!

Sem título.jpg

Visualizações: 106

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Marcações: ataque, regra, ssh
Votos 0
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Pedro Filho Outubro 11, 2011 23:06

    adicionei nas configurações de servidor mikrotik a opção de porta ssh, faz um update manual que já esta incluso...

  • Geovane Martins Abril 28, 2010 9:06
    Simmm eh isso mesmo...

    P cada porta 5 regras e tb vc deve mudar o nome da variável, por exemplo=list address-list=ssh_stage1 para list address-list=http_stage1

    OK?
    George disse:
    valew então! mudei tbm o tempo para 24 horas! o tempo de bloqueio, ja que vc está dizendo que o ip do mk pode ficar lá, mas assim copiei somente a regra de exessão, pois o protocolo é o mesmo ou seja ele deixa livre a rede dos clientes e do mk-auth.

    no caso de fazer em outro serviço como whhtp porta 80 e ftp porta 21 tem que fazer as 5 regras! correto?

    Geovane Martins disse:
    Vamos lah..

    Eh normal estar na adresslist, ele soh não vai bloquear este IP na regra.
    Eh isso mesmo... a primeira eh dah drop, qdo tem mais de 3 tentativas sem sucesso...
    Vc tb pode adaptar para as outras portas, por exemplo a porta 23 de telnet, para isso eh soh substituir port=22 por port=23.
    Testa ai!!!

    George disse:
    aqui fiz o seguinte copiei a regra onde coloco a rede xxx.xxx.xxx.xxx como exessão, e fiz uma para a rede do mk-auth, mas tem horas que olho e a rede do mkauth está na a addresslist, em stage 1. como faço pra isso não acontecer??? outra coisa são 5 regras correto?, a que fica em primeiro é a que faz a exessão a rede?

    até mais!

    LiveNET Provedor disse:
    / ip firewall filter
    add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist \
    action=drop comment="Drop ssh brute forcers" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage1 action=add-src-to-address-list \
    address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage2 action=add-src-to-address-list \
    address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage3 action=add-src-to-address-list \
    address-list=ssh_blacklist address-list-timeout=4w2d comment="" \
    disabled=yes

    Pedro Filho disse:
    cria uma regra que dropa o externo ssh na 22 e outra que redirecione entrada em uma outra porta para sua 22, tudo isso pode ser resolvido no mikrotik facilmente, tem outra regra que não lembro onde vi mais que dropa o ip apartir de 5 tetantivas invalidas e que tb é muito boa para isso ...
  • George Abril 27, 2010 22:27
    valew então! mudei tbm o tempo para 24 horas! o tempo de bloqueio, ja que vc está dizendo que o ip do mk pode ficar lá, mas assim copiei somente a regra de exessão, pois o protocolo é o mesmo ou seja ele deixa livre a rede dos clientes e do mk-auth.

    no caso de fazer em outro serviço como whhtp porta 80 e ftp porta 21 tem que fazer as 5 regras! correto?

    Geovane Martins disse:
    Vamos lah..

    Eh normal estar na adresslist, ele soh não vai bloquear este IP na regra.
    Eh isso mesmo... a primeira eh dah drop, qdo tem mais de 3 tentativas sem sucesso...
    Vc tb pode adaptar para as outras portas, por exemplo a porta 23 de telnet, para isso eh soh substituir port=22 por port=23.
    Testa ai!!!

    George disse:
    aqui fiz o seguinte copiei a regra onde coloco a rede xxx.xxx.xxx.xxx como exessão, e fiz uma para a rede do mk-auth, mas tem horas que olho e a rede do mkauth está na a addresslist, em stage 1. como faço pra isso não acontecer??? outra coisa são 5 regras correto?, a que fica em primeiro é a que faz a exessão a rede?

    até mais!

    LiveNET Provedor disse:
    / ip firewall filter
    add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist \
    action=drop comment="Drop ssh brute forcers" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage1 action=add-src-to-address-list \
    address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage2 action=add-src-to-address-list \
    address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage3 action=add-src-to-address-list \
    address-list=ssh_blacklist address-list-timeout=4w2d comment="" \
    disabled=yes

    Pedro Filho disse:
    cria uma regra que dropa o externo ssh na 22 e outra que redirecione entrada em uma outra porta para sua 22, tudo isso pode ser resolvido no mikrotik facilmente, tem outra regra que não lembro onde vi mais que dropa o ip apartir de 5 tetantivas invalidas e que tb é muito boa para isso ...
  • Geovane Martins Abril 27, 2010 21:23
    Vamos lah..

    Eh normal estar na adresslist, ele soh não vai bloquear este IP na regra.
    Eh isso mesmo... a primeira eh dah drop, qdo tem mais de 3 tentativas sem sucesso...
    Vc tb pode adaptar para as outras portas, por exemplo a porta 23 de telnet, para isso eh soh substituir port=22 por port=23.
    Testa ai!!!

    George disse:
    aqui fiz o seguinte copiei a regra onde coloco a rede xxx.xxx.xxx.xxx como exessão, e fiz uma para a rede do mk-auth, mas tem horas que olho e a rede do mkauth está na a addresslist, em stage 1. como faço pra isso não acontecer??? outra coisa são 5 regras correto?, a que fica em primeiro é a que faz a exessão a rede?

    até mais!

    LiveNET Provedor disse:
    / ip firewall filter
    add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist \
    action=drop comment="Drop ssh brute forcers" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage1 action=add-src-to-address-list \
    address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage2 action=add-src-to-address-list \
    address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage3 action=add-src-to-address-list \
    address-list=ssh_blacklist address-list-timeout=4w2d comment="" \
    disabled=yes

    Pedro Filho disse:
    cria uma regra que dropa o externo ssh na 22 e outra que redirecione entrada em uma outra porta para sua 22, tudo isso pode ser resolvido no mikrotik facilmente, tem outra regra que não lembro onde vi mais que dropa o ip apartir de 5 tetantivas invalidas e que tb é muito boa para isso ...
  • George Abril 27, 2010 20:55
    aqui fiz o seguinte copiei a regra onde coloco a rede xxx.xxx.xxx.xxx como exessão, e fiz uma para a rede do mk-auth, mas tem horas que olho e a rede do mkauth está na a addresslist, em stage 1. como faço pra isso não acontecer??? outra coisa são 5 regras correto?, a que fica em primeiro é a que faz a exessão a rede?

    até mais!

    LiveNET Provedor disse:
    / ip firewall filter
    add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist \
    action=drop comment="Drop ssh brute forcers" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage1 action=add-src-to-address-list \
    address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage2 action=add-src-to-address-list \
    address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=yes
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage3 action=add-src-to-address-list \
    address-list=ssh_blacklist address-list-timeout=4w2d comment="" \
    disabled=yes

    Pedro Filho disse:
    cria uma regra que dropa o externo ssh na 22 e outra que redirecione entrada em uma outra porta para sua 22, tudo isso pode ser resolvido no mikrotik facilmente, tem outra regra que não lembro onde vi mais que dropa o ip apartir de 5 tetantivas invalidas e que tb é muito boa para isso ...
  • George Abril 25, 2010 0:33
    já consegui resolver o problema!! valews ai!

    Pedro Filho disse:
    cria uma regra que dropa o externo ssh na 22 e outra que redirecione entrada em uma outra porta para sua 22, tudo isso pode ser resolvido no mikrotik facilmente, tem outra regra que não lembro onde vi mais que dropa o ip apartir de 5 tetantivas invalidas e que tb é muito boa para isso ...
  • Pedro Filho Abril 24, 2010 23:34
    cria uma regra que dropa o externo ssh na 22 e outra que redirecione entrada em uma outra porta para sua 22, tudo isso pode ser resolvido no mikrotik facilmente, tem outra regra que não lembro onde vi mais que dropa o ip apartir de 5 tetantivas invalidas e que tb é muito boa para isso ...
  • Geovane Martins Abril 24, 2010 20:32
    A posição pode ser no inicio das suas regras do firewall, foi o que fiz, mas vc pode analisar e adaptar, qq coisa me adiciona no MSN - geovane @ sdnet . com . br

    George disse:
    é funciona mesmo, agora assim, vc tá ligado que tem a rede do mk-auth, e ai como fica, em relação a ordem das regras, porq ele bloqueou a minha rede do mk-auth, ai adicionei uma regra para liberar o range da mesma! estou em duvida em relação a ordem da mesma!

    Geovane Martins disse:
    Oi amigo, uma forma legal eh colocar as regras:

    /ip firewall filter
    add action=drop chain=input comment="Drop ssh brute forcers - SSH" disabled=\
    no dst-port=22 protocol=tcp src-address=!xxx.xxx.xxx.XXX src-address-list=\
    ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=5m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp

    Basicamente se houver 3 tentativas fracassadas ele bloqueia o IP, por 5 minutos no meu caso, exceto o IP XXx.xxx.xxx
    Tem gente que usa bloqueando por 24 horas.
    Tb adaptei o script para as outras portas, 80, 21, etc

    Rodrigo Hº Souza disse:
    Eu tb estou tendo problema com isso amigo.....favor muda pedro namoral.
  • George Abril 24, 2010 18:30
    é funciona mesmo, agora assim, vc tá ligado que tem a rede do mk-auth, e ai como fica, em relação a ordem das regras, porq ele bloqueou a minha rede do mk-auth, ai adicionei uma regra para liberar o range da mesma! estou em duvida em relação a ordem da mesma!

    Geovane Martins disse:
    Oi amigo, uma forma legal eh colocar as regras:

    /ip firewall filter
    add action=drop chain=input comment="Drop ssh brute forcers - SSH" disabled=\
    no dst-port=22 protocol=tcp src-address=!xxx.xxx.xxx.XXX src-address-list=\
    ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=5m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp

    Basicamente se houver 3 tentativas fracassadas ele bloqueia o IP, por 5 minutos no meu caso, exceto o IP XXx.xxx.xxx
    Tem gente que usa bloqueando por 24 horas.
    Tb adaptei o script para as outras portas, 80, 21, etc

    Rodrigo Hº Souza disse:
    Eu tb estou tendo problema com isso amigo.....favor muda pedro namoral.
  • Geovane Martins Abril 24, 2010 6:00
    Oi amigo, uma forma legal eh colocar as regras:

    /ip firewall filter
    add action=drop chain=input comment="Drop ssh brute forcers - SSH" disabled=\
    no dst-port=22 protocol=tcp src-address=!xxx.xxx.xxx.XXX src-address-list=\
    ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=5m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp

    Basicamente se houver 3 tentativas fracassadas ele bloqueia o IP, por 5 minutos no meu caso, exceto o IP XXx.xxx.xxx
    Tem gente que usa bloqueando por 24 horas.
    Tb adaptei o script para as outras portas, 80, 21, etc

    Rodrigo Hº Souza disse:
    Eu tb estou tendo problema com isso amigo.....favor muda pedro namoral.
This reply was deleted.