Tentativa de Invasao do Mk via ssh

Boa noite amigos, estou com um problema aqui no meu provedorm quando olho no log do MK vejo que alguem está tentando invadir o msm por SSH, olha agorinha vi um ip aqui e fui em busca para ver de onde era e o mesmo me remeteu ke era de Salvador, pesquisando mais cheguei a um tal de LogNet, isso apenas colocando o ip do invasor no navegador, e parece ser  de salvador, nao quero acusar ninguem mais coloquei as imagens em anexo para saber se alguem ja teve problema com isso. e como podemos solucionar. desde já agraço a ajuda.

busca Local.jpg

meu MK.jpg

lognet.jpg

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Enviar-me um email quando as pessoas responderem –

Respostas

  • Bloqueia o ip dele

  • Mano vc tem que configurar seu firewall , mais adianto as regras que resolverá isso , apos eu arumar nunca mais tive tentativa de invasao

    Segue as regras abaixo. espero ter ajudado.


    /ip firewall filter
    add action=drop chain=input comment="barrar brute force para ssh" disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp
    add action=drop chain=input comment="drop ssh brute forcers" disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new disabled=no \
    dst-port=22 protocol=tcp src-address-list=ssh_stage1

  • Tenta entrar em contato com eles. Olha o site deles: http://www.lognetsolucoes.com.br/

    Boa Sorte.

  • facil resolver isso, sem precisar criar um monte de regras no firewall, va em:

    /ip service

    em ssh na parte em Available From, coloque o ip do mk-auth

    pronto, somente ele conseguirar se logar no mikrotik por ssh

  • certo obrigado amigos pela ajuda, vou rever as configurações do firewall aqui!. não vou ir alem disso pois como disse nao posso afirmar kem foi, eu apenas cheguei a estas informações atraves do IP que foi relatado no MK. mais obrigado a todos.

    abraços e boa noite!

  • Cara liga para a empresa, mostre as fotos para ver o que eles vao dizer....

  • meu muda a porta do ssh que resolve aqui resolveu..

  • muda  aporta do seu ssh amigo, eu ja passei por isso mudei e nao tive mais problemas.

  • tive um problema semelhante porem descobri que era um virus no pc de um cliente e me reportava ip da russia 

    porem pesquisando um pouco descobri que era virus   e por acaso descobri o cliente rsrsr  mudei a porta as regras  firewall  e td ficou lindo rsrsr

This reply was deleted.