Boa noite amigos, estou com um problema aqui no meu provedorm quando olho no log do MK vejo que alguem está tentando invadir o msm por SSH, olha agorinha vi um ip aqui e fui em busca para ver de onde era e o mesmo me remeteu ke era de Salvador, pesquisando mais cheguei a um tal de LogNet, isso apenas colocando o ip do invasor no navegador, e parece ser de salvador, nao quero acusar ninguem mais coloquei as imagens em anexo para saber se alguem ja teve problema com isso. e como podemos solucionar. desde já agraço a ajuda.
Para adicionar comentários, você deve ser membro de MK-AUTH.
Respostas
Bloqueia o ip dele
Mano vc tem que configurar seu firewall , mais adianto as regras que resolverá isso , apos eu arumar nunca mais tive tentativa de invasao
Segue as regras abaixo. espero ter ajudado.
/ip firewall filter
add action=drop chain=input comment="barrar brute force para ssh" disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage1
Tenta entrar em contato com eles. Olha o site deles: http://www.lognetsolucoes.com.br/
Boa Sorte.
facil resolver isso, sem precisar criar um monte de regras no firewall, va em:
/ip service
em ssh na parte em Available From, coloque o ip do mk-auth
pronto, somente ele conseguirar se logar no mikrotik por ssh
certo obrigado amigos pela ajuda, vou rever as configurações do firewall aqui!. não vou ir alem disso pois como disse nao posso afirmar kem foi, eu apenas cheguei a estas informações atraves do IP que foi relatado no MK. mais obrigado a todos.
abraços e boa noite!
Cara liga para a empresa, mostre as fotos para ver o que eles vao dizer....
meu muda a porta do ssh que resolve aqui resolveu..
www.mk-auth.com.br/forum/topics/bloquear-ataque-bruta-force-ssh
muda aporta do seu ssh amigo, eu ja passei por isso mudei e nao tive mais problemas.
tive um problema semelhante porem descobri que era um virus no pc de um cliente e me reportava ip da russia
porem pesquisando um pouco descobri que era virus e por acaso descobri o cliente rsrsr mudei a porta as regras firewall e td ficou lindo rsrsr
-
1
-
2
de 2 Próximo