Forumitbr.com.br

Bom Dia pessoal, estou um pouco preocupado, desde ontem estou tendo ataque a minha rede e não sei o que fazer para para os ataques, já tentei BLOQUEAR O IP FAZENDO UMA REGRA NO FIREWALL DE ENTRADA E SAÍDA, JÁ ADD O IP NA LISTA DE SCAN DO ANTIVIRUS mas realmente não sei o que fazer. Alguém ai pode me ajudar.

No meus registros on line no Endian está aparecendo a informação abaixo, e fica a todo momento tentando acessar meu servidor. Minha versão do Endian e a 2.5.1 e fora isso não tenho nenhum problema.

snort[22969]: [1:2019876:2] ET SCAN SSH BruteForce Tool with fake PUTTY version [Classification: Detection of a Network Scan] [Priority: 3] {TCP} 116.31.116.27:44339 -> 192.168.x.xxx:22

Tentar bloquear vai ser uma brincadeira de caça ao rato. Você bloqueia de um lado eles atacam de outro.
Remova a regra liberando o SSH e implemente OpenVPN para este acesso, com o SSH aberto os ataques irão continuar até quem sabe o atacante conseguir descobrir a sua senha na força bruta.

Bom Dia, consegui resolver o problema, fiz da seguinte forma. Em Firewall\Redirecionamento de Porta / NAT de Destino troquei o IP de entrada deixando apenas o IP da empresa que e proprietária do ERP, Bloqueei os IPs que apareciam no registro on line, com a politica de DROP na filtragem e em Serviços\ Prevenção a Intrusão \ Editor ativei a regra de Brutal Force e coloquei ela para bloquear ataques. Mas de todas as alterações que fiz acredito que essas ultima regra seja a que realmente esteja fazendo a diferença.
Marceloleaes, sei que vai ser como você falou, uma brincadeira de gato e rato, vou deixar assim e fazer um teste para ver se vai dar certo caso não faço a Open VPN, eu monitorei o acesso esse final de semana e não teve nenhuma tentativa de ataque.

Se você pode criar uma regra permitindo somente o ip do desenvolvedor resolve o seu problema.
Edite a regra em modo avançado e no campo Acesso a partir de: insira o ip fixo do pessoal do ERP.
Agora, deixar o ssh aberto pra qualquer um, certo que vai seguir dando dor de cabeça.

E foi isso mesmo que fiz, deixei apenas o IP do desenvolvedor do ERP, antes estava aberto para qq conexão. Agradeço pela ajuda, sempre muito bom compartilhar ideias obrigado.  :)