Duvida - Tentativas de acesso força bruta

natalia.belarte
(usa Debian)

Enviado em 13/09/2022 - 08:59h

Bom dia Pessoal, recebi um email com o seguinte conteudo abaixo, alguem tem alguma dica como analisar meu server e verificar se isso é real,
inicialmente ja varri meu servidor atras de logs, falhas de configuração no iptables e etc, mas não encontrei nada. Alguem ja passou por essa situação?

Conteudo do email

ABUSE attempt from Your network (xxx.2xx.3x0.2xx) - Authfail
abuse abuse@bmk-it.com
Para: Você cert@cert.br mail-abuse@cert.br
Cópia: root@mail-gw.bmk-it.com
12/09/2022 | 20:00

Would You be so kind to do somethink with Your customer!?
Authfail notified bruteforce login attempt to our system from IP:
xxx.2xx.3x0.2xx
logging following details:
Sep 13 00:54:10 bmk-esxi2-fw2 sshd[3953914]: User root from xxx.2xx.3x0.2xx not allowed because not listed in AllowUsers
Sep 13 00:54:11 bmk-esxi2-fw2 sshd[3953914]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.2xx.3x0.2xx user=root
Sep 13 00:54:13 bmk-esxi2-fw2 sshd[3953914]: Failed password for invalid user root from xxx.2xx.3x0.2xx port 42122 ssh2
Sep 13 00:54:14 bmk-esxi2-fw2 sshd[3953914]: Received disconnect from xxx.2xx.3x0.2xx port 42122:11: Bye Bye [preauth]
Sep 13 00:54:14 bmk-esxi2-fw2 sshd[3953914]: Disconnected from invalid user root xxx.2xx.3x0.2xx port 42122 [preauth]
Sep 13 00:59:42 bmk-esxi2-fw2 sshd[3954031]: Invalid user sorlag44 from xxx.2xx.3x0.2xx port 38488
Sep 13 00:59:42 bmk-esxi2-fw2 sshd[3954031]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.2xx.3x0.2xx
Sep 13 00:59:44 bmk-esxi2-fw2 sshd[3954031]: Failed password for invalid user sorlag44 from xxx.2xx.3x0.2xx port 38488 ssh2
Sep 13 00:59:47 bmk-esxi2-fw2 sshd[3954031]: Received disconnect from xxx.2xx.3x0.2xx port 38488:11: Bye Bye [preauth]
Sep 13 00:59:47 bmk-esxi2-fw2 sshd[3954031]: Disconnected from invalid user sorlag44 xxx.2xx.3x0.2xx port 38488 [preauth]
Sep 13 01:00:04 bmk-esxi2-fw2 sshd[3954039]: User root from xxx.2xx.3x0.2xx not allowed because not listed in AllowUsers
Sep 13 01:00:04 bmk-esxi2-fw2 sshd[3954039]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.2xx.3x0.2xx user=root


You can read the timezone of login attemtps in email header.
Your xxx.2xx.3x0.2xx has been added to our ACL with BLOCK rule.

Thanks a lot.

Best regards,
Authfail - http://www.bmk-it.com/projects/authfail/

xerxeslins
(usa openSUSE)

Enviado em 13/09/2022 - 09:40h

Não sei, mas é suspeito esse site sem certificado SSL no final da mensagem. Eu nem entraria.

--
Chega uma hora na vida que você só quer bater o prego e não perder tempo estudando a ciência da construção de um martelo.

slycooperbr80
(usa OpenBSD)

Enviado em 13/09/2022 - 13:16h

Acho bem desnecessário provavelmente é uma ferramenta automatizada que enviou pra mais um na multidao, sobre o tls serve mais para controle dos servidores sobre voce do que o contrário.

leandropscardua
(usa Ubuntu)

Enviado em 13/09/2022 - 15:03h

O comando lastb mostra tentativas de login sem sucesso, se o conteúdo existirr vai estar lá. Agora, primeiro cheque sua máquina, se vc desconfia da mensagem pode ser que um atacante queira justamente que você faça o acesso a essa máquina.

danniel-lara
(usa Fedora)

Enviado em 14/09/2022 - 15:47h

usa o fail2ban , ajuda muito

https://adamtheautomator.com/fail2ban-ssh/

albfneto
(usa openSUSE)

Enviado em 15/09/2022 - 17:13h

Pode ser falso, fake, porque a home page que ele cita nem existe mais.


¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨
Albfneto,
Ribeirão Preto, S.P., Brasil.
Usuário Linux, Linux Counter: #479903.
Distros Favoritas: Sabayon, Gentoo, openSUSE, Mageia e OpenMandriva.