[Ajuda] Ataques via ssh

[joelpinheiro]

Senhores Bom Dia,

Houve um ataque ssh no meu servidor e preciso saber como bloquear..
Removi a regra que libera a 22, queria fechar ele coretamente pra evitar estes ataques..

Parabenizando desde já pelo novo fórum...

[r0n4ld0]

Fora o bloqueio da porta 22 e 23 para acesso externo e interessante habilitar o serviço "Detecção de Intruso".

Logar > Serviço > Intrusion Prevention

[joelpinheiro]

Eu alterei a porta ssh e estou com o SNORT ativado, quero saber o que posso fazer pra conter ou bloquear ainda mais esses ataques, obrigado Ronaldo davi.

[marceloleaes]

O recomendado seria permitir acesso ao SSH somente de IP's conhecidos. Se não dispõem de ip fixo para controlar este acesso uma boa alternativa seria começar a utilizar OpenVPN, configurando o cliente em sua máquina Windows e acessando o serviço através da VPN.

Deixando aberto os ataques sempre serão um problema, e tem aquela né, se deixar o cara insistindo uma hora ele consegue 

[joelpinheiro]

Ok valeu galera.

[Eduardo Jonck]

Eu deixo a 22 fechada e acesso pela 222, isso ja da uma camuflada.

[jhonthan]

A melhor camuflada, é aquela que você não inicia ou termina as portas de destino, com a porta padrão do serviço. Se deseja camuflar, creio que algo como 7555, redirecionando para o SSH.
Mas como dito, nada como um melhor e mais correto modo, evitar brechas, liberando acima de tudo somente para IPs conhecidos, desabilitar a resposta de Ping, e colocar senhas fortes no Firewall, nada como " Admin - admin " !!

Abrs, Jonathan 

[marceloleaes]

Alterar a porta é válido, mas tem que desabilitar a assinatura do OpenSSH no conf. Senão o nmap passa, pega a porta aberta e diz que é ele 

[diegosas]

Falando em ataques e segurança, não sei se aqui é o melhor local do forum para comentar, mas aquele antivirus do clamav funciona pessoal? aonde vejo logs de captura ou algo assim dele, olhando rapidamente encontrei apenas logs dos updates das definições.

Valew ABS a todos.

[felipeqga]

Script que Bloqueia ataques ssh e envia email de alerta.
* esta em pleno uso e funcionando.
1) Da pra editar o numero de tentativas antes de bloquear o IP atacante, parametro BADCOUNT="4"
2) So envia email se o endianFirewall estiver devidamente configurado (EventNotifications/smtp proxy na RED).
3) checa os logs(var/log/messages) e verifica os Ataques falhados se passar de 4(BADCOUNT=4) ele joga o IP atacante para
/etc/pegasship.txt e depois fica so checando se o Ip ja existe ou nao lá se nao ele adiciona na regra de firewall bloqueado o ip atacante.
4) A chain "INPUTFW" ja existe nativamente e é a equivalente em "SYSTEM ACCESS" do WEB ADMIN , tal regra neste script dá um DROP temporario.

5) touch /etc/pegasship.txt; chmod 775 /etc/pegasship.txt

VEJA:
root@gvt:~ # iptables -nvL INPUTFW
Chain INPUTFW (7 references)
pkts bytes target    prot opt in    out    source              destination       
    4  240 DROP      tcp  --  *      *      115.115.161.246      0.0.0.0/0 

6) Problemas do script
6.1)  ao aplicar quaisquer regras no firewall via WEB ADMIN, este bloqueio  temporário do script some, logo copie o IP e adicione manualmente, mas fica bloqueando em tempo real.
7) Fica aberto ai pra quem quiser melhorar ou alterar.

Código: Selecionar todos

#!/bin/bash
#
AWK=/bin/awk
SORT=/bin/sort
GREP=/bin/grep
UNIQ=/bin/uniq
SED=/bin/sed
LOGFILE=/var/log/messages
BADCOUNT="4"
#
grep 'Failed password' /var/log/messages | awk '{ a=NF-3; print $a}' |uniq -c| sed 's/^ *//' |sed 's/\::ffff://g'| sort -n |
while read i
do
COUNT=`echo $i | cut -d " " -f1`
IP=`echo $i | cut -d " " -f2`
INLIST=`$GREP $IP /etc/pegasship.txt`
if [ -z "$INLIST" ]
then
if [ "$COUNT" -ge "$BADCOUNT" ]
then
echo "$IP" >> /etc/pegasship.txt
iptables -I INPUTFW -p tcp -s $IP -j DROP
echo 'ALERTA - BLOCKSSH: '$IP'' | mail -s "BLOCKSSH:$IP" [email protected] 
fi
fi
done

[Elton]

Felipe fui obrigado a documentar seu belo script na área dos scripts muito obrigado pela contribuição vou testar temos que alimentar esse seu script!!

[felipeqga]

Beleza.. combinado!!!!!
Publiquei Uma parada em Facebook Bloqueio se puder ajudar.!!!