Forum

Invasão do sistema urgente !! (Resolvido)

Postado por Tecnocéu Informática em 17 de Abril de 2015 às 15:19

Pedro por favor não estou entendendo o que esta havendo tenho logins em meu mikrotik sem ao menos estarem cadastrados no mk-auth e que fazem login tanto por PPPOE ou por Hotspot e navegam em um plano de 4Mb que nem vendo na cidade. O que pode estar ocorrendo Pedro?

Veja nos Anexos estes logins nem estão cadastrados nem o mac do cliente o MK-auth não encontra, como isto pode esta ocorrendo.

Visualizações: 105

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Marcações: Mikrotik, Mk-auth
Votos 0
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Tecnocéu Informática Abril 21, 2015 12:39

    Sim amigo até o presente momento foi inteiramente minha a culpa, infelizmente não tive a sua maldade, mas obrigado pela dica.

    RENATO COSTA DO NASCIMENTO disse:

    Ou seja, você colocou arquivos sem segurança justamente naquele servidor que merece total atenção em relação a isso. Então alguém encontrou essa brecha que você criou e bagunçou o sistema.

    Desde que instalei o MK-Auth aqui, nunca adicionei nenhum "EXTRA", pois sei que é sempre nesses detalhes que a segurança é comprometida.

    Nunca tive problemas com meu sistema que não fosse nada configurado errado por mim e rapidamente solucionado quando em contato com esse forum.

  • RENATO COSTA DO NASCIMENTO Abril 21, 2015 12:30

    Ou seja, você colocou arquivos sem segurança justamente naquele servidor que merece total atenção em relação a isso. Então alguém encontrou essa brecha que você criou e bagunçou o sistema.

    Desde que instalei o MK-Auth aqui, nunca adicionei nenhum "EXTRA", pois sei que é sempre nesses detalhes que a segurança é comprometida.

    Nunca tive problemas com meu sistema que não fosse nada configurado errado por mim e rapidamente solucionado quando em contato com esse forum.

  • Tecnocéu Informática Abril 21, 2015 8:41

    Amigo fiz uma reinstalação do sistema, como Pedro detectou alguns arquivos que estavam sem segurança colocados por mim mesmo, com a reinstalação eles foram removidos, até agora o problema não aconteceu novamente. 



    Marco de Freitas disse:

    Os usuários estranhos não foram parar ali sozinhos. Se o sistema foi comprometido, substituí-lo não vai desfazer o que foi feito mas vai evitar que continue. Se não fechar a porta você vai ficar enxugando gelo.

    Pedro, você poderia colocar o pacote fail2ban na próxima imagem do MK-AUTH? Os ataques de força bruta ao SSH estão mais frequentes.

  • Tecnocéu Informática Abril 21, 2015 8:26

    Acho uma bota também Marco !

    Marco de Freitas disse:

    Os usuários estranhos não foram parar ali sozinhos. Se o sistema foi comprometido, substituí-lo não vai desfazer o que foi feito mas vai evitar que continue. Se não fechar a porta você vai ficar enxugando gelo.

    Pedro, você poderia colocar o pacote fail2ban na próxima imagem do MK-AUTH? Os ataques de força bruta ao SSH estão mais frequentes.

  • Marco (TI e C) Abril 21, 2015 4:43

    Use o Torch na interface para ver o que realmente ele está acessando. É muito provável que esse tráfego todo seja a própria página de bloqueio. Redirecione somente as portas TCP 80 e 443. Em todas as outras, fora a UDP 53, dê um DROP.

    SEU MADRUGA disse:

    ola pedro qui é o seguinte o cliente bloqueado esta navegando normal, ele pega o ip da pagina de corte porem na queues fica la navegando e no vermelho como achei o consumo excessivo fiz um teste aqui com o meu bloqueei e apareceu a pagina de corte normal sem navegar mas ai tudo ok, o problema é alguns clientes que tipo eu bloqueio agora ele reconecta e com 2 ou 3 minutos esta com 400 a 500 mb de consumi e tx e rx 128k / 1670kbps etc o que pode esta a vendo? fiz um plano de corte no mk-auth e coloquei a 1k todos bloqueados estou colocando nesse plano até verificar vou deixar um cliente bloqueado no plano normal e mando os printes 

  • SEU MADRUGA Abril 21, 2015 3:38

    ola pedro qui é o seguinte o cliente bloqueado esta navegando normal, ele pega o ip da pagina de corte porem na queues fica la navegando e no vermelho como achei o consumo excessivo fiz um teste aqui com o meu bloqueei e apareceu a pagina de corte normal sem navegar mas ai tudo ok, o problema é alguns clientes que tipo eu bloqueio agora ele reconecta e com 2 ou 3 minutos esta com 400 a 500 mb de consumi e tx e rx 128k / 1670kbps etc o que pode esta a vendo? fiz um plano de corte no mk-auth e coloquei a 1k todos bloqueados estou colocando nesse plano até verificar vou deixar um cliente bloqueado no plano normal e mando os printes 

  • Marco (TI e C) Abril 21, 2015 3:14

    Não. Mas vai evitar futuros problemas de escala na rede.

    Tecnocéu Informática disse:

    Fazendo isto vai me ajudar na segurança?

  • Marco (TI e C) Abril 21, 2015 3:12

    Os usuários estranhos não foram parar ali sozinhos. Se o sistema foi comprometido, substituí-lo não vai desfazer o que foi feito mas vai evitar que continue. Se não fechar a porta você vai ficar enxugando gelo.

    Pedro, você poderia colocar o pacote fail2ban na próxima imagem do MK-AUTH? Os ataques de força bruta ao SSH estão mais frequentes.

    Tecnocéu Informática disse:

    Mas se eu restaurar um backup com algum usuário já cadastrado indevidamente o problema só vai mudar de lugar Amigo.

  • Felipe Junior Abril 20, 2015 23:20

    Amigo quando achar a solução do problema posta aqui pra nós ficarmos orientado, quanto a este caso... abraços..

  • Tecnocéu Informática Abril 20, 2015 20:07

    Pedro obrigado pela atenção vou fazer tudo que pediu e postar os resultados.

This reply was deleted.