Boa noite amigos, estou com um problema aqui no meu provedorm quando olho no log do MK vejo que alguem está tentando invadir o msm por SSH, olha agorinha vi um ip aqui e fui em busca para ver de onde era e o mesmo me remeteu ke era de Salvador, pesquisando mais cheguei a um tal de LogNet, isso apenas colocando o ip do invasor no navegador, e parece ser de salvador, nao quero acusar ninguem mais coloquei as imagens em anexo para saber se alguem ja teve problema com isso. e como podemos solucionar. desde já agraço a ajuda.
Para adicionar comentários, você deve ser membro de MK-AUTH.
Respostas
aqui eu vou em ip service e em SSH coloco o ip do mkauth, significa somente este ip pode conectar por ssh no mikrotik, nao aparace mais nada no log e assim nao peso nas rb´s em processamento de firewall
tive um problema semelhante porem descobri que era um virus no pc de um cliente e me reportava ip da russia
porem pesquisando um pouco descobri que era virus e por acaso descobri o cliente rsrsr mudei a porta as regras firewall e td ficou lindo rsrsr
muda aporta do seu ssh amigo, eu ja passei por isso mudei e nao tive mais problemas.
www.mk-auth.com.br/forum/topics/bloquear-ataque-bruta-force-ssh
meu muda a porta do ssh que resolve aqui resolveu..
Cara liga para a empresa, mostre as fotos para ver o que eles vao dizer....
certo obrigado amigos pela ajuda, vou rever as configurações do firewall aqui!. não vou ir alem disso pois como disse nao posso afirmar kem foi, eu apenas cheguei a estas informações atraves do IP que foi relatado no MK. mais obrigado a todos.
abraços e boa noite!
facil resolver isso, sem precisar criar um monte de regras no firewall, va em:
/ip service
em ssh na parte em Available From, coloque o ip do mk-auth
pronto, somente ele conseguirar se logar no mikrotik por ssh
Tenta entrar em contato com eles. Olha o site deles: http://www.lognetsolucoes.com.br/
Boa Sorte.
Mano vc tem que configurar seu firewall , mais adianto as regras que resolverá isso , apos eu arumar nunca mais tive tentativa de invasao
Segue as regras abaixo. espero ter ajudado.
/ip firewall filter
add action=drop chain=input comment="barrar brute force para ssh" disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=ssh_stage1
-
1
-
2
de 2 Próximo