tentativas de invasão?

rmonteiraum
(usa CentOS)

Enviado em 10/01/2011 - 14:31h

Prezados, segue parte do log do meu /var/log/secure

Jan 9 04:25:14 node1 sshd[26852]: Did not receive identification string from 95.54.54.123
Jan 9 06:25:18 node1 sshd[28495]: Did not receive identification string from 94.93.3.234
Jan 9 06:25:30 node1 sshd[28496]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host234-3-static.93-94-b.business.telecomitalia.it user=root
Jan 9 06:25:32 node1 sshd[28496]: Failed password for root from 94.93.3.234 port 2456 ssh2
Jan 9 06:25:46 node1 last message repeated 6 times
Jan 9 06:25:46 node1 sshd[28497]: Disconnecting: Too many authentication failures for root
Jan 9 06:25:46 node1 sshd[28496]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=host234-3-static.93-94-b.business.telecomitalia.it user=root
Jan 9 06:25:46 node1 sshd[28496]: PAM service(sshd) ignoring max retries; 7 > 3
Jan 9 06:25:51 node1 sshd[28502]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host234-3-static.93-94-b.business.telecomitalia.it user=root
Jan 9 06:25:53 node1 sshd[28502]: Failed password for root from 94.93.3.234 port 2952 ssh2
Jan 9 06:26:07 node1 last message repeated 6 times
Jan 9 06:26:07 node1 sshd[28503]: Disconnecting: Too many authentication failures for root
Jan 9 06:26:07 node1 sshd[28502]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=host234-3-static.93-94-b.business.telecomitalia.it user=root
Jan 9 06:26:07 node1 sshd[28502]: PAM service(sshd) ignoring max retries; 7 > 3
Jan 9 06:26:12 node1 sshd[28505]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host234-3-static.93-94-b.business.telecomitalia.it user=root
Jan 9 06:26:14 node1 sshd[28505]: Failed password for root from 94.93.3.234 port 3354 ssh2
Jan 9 06:26:29 node1 last message repeated 6 times
Jan 9 06:26:29 node1 sshd[28506]: Disconnecting: Too many authentication failures for root
Jan 9 06:26:29 node1 sshd[28505]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=host234-3-static.93-94-b.business.telecomitalia.it user=root
Jan 9 06:26:29 node1 sshd[28505]: PAM service(sshd) ignoring max retries; 7 > 3

Obs; essa é só uma parte do log. o log está extenso e cheio de hosts tentando conexão.

Como posso resolver isso?

andrezc
(usa Debian)

Enviado em 10/01/2011 - 14:52h

Você pode usar algum detector de força bruta para ssh, como por exemplo o Fail2ban. Seria interessante também usar alguma ferramenta para ofuscar as portas abertas em seu servidor, como por exemplo, o P.S.A.D. Outra coisa, adicione esse IP (do possível atacante) à black-list.

k1k0
(usa Slackware)

Enviado em 10/01/2011 - 17:23h

Pode ser um ataque do tipo bruta força, tenta mudar a porta do ssh para uma porta mais alta, melhora o filtro no firewall e tira acesso de root via ssh.

Com essas dicas você melhora um pouco a segurança, e pode resolver o problema do scanner na sua porta do sshd.
Espero que ajude
Att
k1k0borba

rmonteiraum
(usa CentOS)

Enviado em 11/01/2011 - 02:07h

andrezc
o ip do cara naum rola pq muda a todo tempo.

k1k0
mudei ja... mas ele ta tentando em routras portas tb...

pensei no seguinte:

Add o meu dnsdinamico ao iptables pra só aceitar conexoes vindas do meu ip.

Será q da certo ou pode dar zica?

removido
(usa Nenhuma)

Enviado em 11/01/2011 - 04:11h

Rapaz não sei se daria algum problema.

Mas dá uma boa olhada em algum IDS e coisas do tipo. Segue uns links para tentar auxiliar.

http://segurancalinux.com/artigo/PSAD-%28Linux%29-detectar-e-bloquear-ataques-port-scan-em-tempo-rea...
http://www.segurancalinux.com/etc/jail.conf
http://www.tekbar.net/pt/hackers-and-security/linux--firewall-and-intrusion-detection-technology.htm...

Espero que ajude. Qualquer coisa posta aí.
Abraço

foxbit3r
(usa Solaris)

Enviado em 11/01/2011 - 09:46h

Sim, é uma tentativa de invasão por brute force. É a coisa mais comum que tem na internet.
Se vc quer diminuir as mensagens de tentativa de acesso a máquina eu sugiro que vc mude o ssh de porta.

andrezc
(usa Debian)

Enviado em 11/01/2011 - 09:59h

Já pensou em usar port knocking para seu SSH? Aqui no Viva o Linux você encontra alguns artigos interessantes sobre isso.