Forum

TENTATIVA DE INVASÃO ESTA MANHÃ !

Postado por Jairo William em 28 de Junho de 2012 às 12:15

Estava ensinando a um amigo como fazer uma vpn , quando derrepente olhem o q eu vi nos meu mikrotik ! 

fiquem espertos quanto a este ip   198.144.184.122

nao sei quem é mas pra min tentou invadir , cada vez q errava tentava um login diferente !

Visualizações: 568

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Marcações: ajuda, invasão, mudar, sistema, tentativa
Votos 0
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Pitet Março 5, 2015 17:36

    acompanhado....

  • giovani-GPOnet Julho 4, 2012 10:34

    Engraçado ha algum tempo disponibilizei uns hospots direto do meu server,depois disso umas duas semanas também tive que aguentar ver esse logs ai.. De gente que não tem o que fazer e tenta rodar esses bruteforces em cima da gente... Pena que usam adsl com ip dinamico senão teria um pouco de graça.

  • Alex Alves Franco Julho 3, 2012 23:15

    .

  • Agnaldo Santos Julho 3, 2012 12:13

    Olha umas regras bem funcional mesmo.

     

    /ip firewall filter
    add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes
    add action=drop chain=input comment="DROP SSH BRUTE FORCERS ( BLACK LIST )" \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=4w2d chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment="" connection-state=new \
    disabled=no dst-port=22 protocol=tcp
    add action=drop chain=input comment="BLOQUEIO SSH - PORT 22-23" disabled=no \
    dst-port=22-23 protocol=tcp

     

    /ip firewall filter
    add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="BARRAR BRUTE FORCA PARA FTP"
    add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
    add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h

    /ip firewall filter
    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Port Scanners a lista de bloqueados por 99hs" disabled=no protocol=tcp psd=20,3s,3,1

    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Mass Scanners a lista de bloqueados por 99hs" disabled=no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack

    add action=add-src-to-address-list address-list=bloqueados address-list-timeout=20h chain=input comment="Adiciona Null Scanners a lista de bloqueados por 99hs" disabled=no protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg

    ## Agora vamos dropar as tentativas de conexão com o router dos ips detectados. ##
    add action=drop chain=input comment="Dropa conexoes de scanners" disabled=no protocol=tcp src-address-list=bloqueados

  • Pedro Filho Junho 30, 2012 11:52

    tem uma regra que colocamos para a cada 3 tentativas invalidas o ip ficar bloqueado por 24 horas, mais não encontrei aqui, alguém tem essa regra ai ??

  • Rogerio Junho 28, 2012 21:08

    Troque as portas e poe essa regra 

    /ip firewall filter

    add action=drop chain=input comment="Porta 1720" disabled=no dst-port=1720 \
    in-interface=Link protocol=tcp

    vai em ip servises 

    e coloque em www  ssh telnet winbox so os ip que vc usa para acessar esses servissos

  • Edmilson TI Junho 28, 2012 20:24

    n precisa desativar a porta ssh, basta colocar um filtro para enviar esses ips pra blacklist. Esses Ips não são nacionais, mto possivel ser algum cliente seu com virus, trojan ou qualquer outra coisa enviando informações para fora.

  • Dario M Adaro Junho 28, 2012 19:04

    Nao desative a portas, somente troquea aporta  SSh, telnet, ftp, www. Na porta Wnbox nem mecha.

    Isso sao programas na rede que fican escaneando ip´s quando um ip respondeu fica dando valores aleatorios. nos modem ADSL D-Link tem a porta SSh padrao com usuario:root e senha:admin e as vezes aparecem Default acho q por causa disso. nao sei de que parte do mundo chega isso, mas eu sempre troco as portas ssh, telnet, e http para evitar isso. Pesquisei uma vez nao lembro onde e explicaba um monte desa praga. Atualmente a D-Link tem uma atualizaçao para todos os modem onde acho que muda isso. Podem esperimentar se conectar num modem por ssh utilizando ese login e senha, e vc pode descobrir o login e senha de acesso web dele.

  • Gilvan Junho 28, 2012 15:35

    Amigo vai la no winbox - ip - services desativa ssh e altera a porta de acesso www vai diminuir bastante isso

    em alguns casos vai zerar

  • Duh ( Josevaldo ) Junho 28, 2012 14:57

    Voce pode ate trocar, mais isso vai continuar, server esta sempre sujeito a ataques,  por ssh, telnet etc. todos aqui passam por isso.

This reply was deleted.