Estão tentando acessar meu servidor [RESOLVIDO]

desv.paulo
(usa Slackware)

Enviado em 01/03/2010 - 17:21h

Boa tarde galera,

Estão tantando invadir meu servidor pelo SSH ! Tenho toda a segurança possível (sabendo que ainda sim e falho), mais gostaria de uma dica de vocês como detectar o IP desde camarada ! Ele esta tendando acessar pela Força Bruta, a cada 1 min tem uma requisição dele ! Como posso proceder ?

oestlinux
(usa Kurumin)

Enviado em 01/03/2010 - 17:33h

De um olhada em:

http://www.vivaolinux.com.br/artigo/Tecnicas-forenses-para-identificacao-da-invasao-e-do-invasor-em-...?pagina=4">http://www.vivaolinux.com.br/artigo/Tecnicas-forenses-para-identificacao-da-invasao-e-do-invasor-em-...

Espero que lhe ajude.

Fonte: http://www.vivaolinux.com.br/artigo/Tecnicas-forenses-para-identificacao-da-invasao-e-do-invasor-em-...

desv.paulo
(usa Slackware)

Enviado em 01/03/2010 - 17:52h

Valeu me resolveu !

andrezc
(usa Debian)

Enviado em 01/03/2010 - 18:10h

Depois de identificar o IP (o que eu creio que você obteve sucesso), bloqueie o acesso dele no seu servidor...

edite o arquivo /etc/hosts.deny e adicione a linha :

sshd:ip-do-cara

renato_pacheco
(usa Debian)

Enviado em 02/03/2010 - 08:12h

Instale o portsentry, q ele é um IPS (detecta e bloqueia).

leodamasceno
(usa Debian)

Enviado em 02/03/2010 - 09:09h

Cara, sei que você já "resolveu" o seu problema.

Mas vale a dica para os outros usuários aqui do VOL.

Segurança de redes é algo bastante complexo. Então você deveria ter dito como estava a segurança da sua rede.

Por exemplo, mesmo sem o "hacker" passar um scan na sua rede, se a porta do SSH é a padrão ( 22 ) fica fácil de adivinhar. Então, modifique a porta padrão, por exemplo, de 22 para 27.
Outra coisa bem importante, seria ideal que você tivesse em sua rede um sniffer. Snort é um IDS muito bom. Caso o cara tentasse ti atacar, ele iria pegar o IP, e combinando o snort com o Guardian, ele automaticamente iria bloquear o IP do "hacker" e você não teria mais problema com isso.