Como bloqueio o IP de um atacante SSH Brute Force de maneira automática?

FreedomLINUX
(usa Debian)

Enviado em 23/04/2014 - 18:35h

Boa noite a todos, estou com uma duvida: Tenho 2 servidores Debian 7 e venho sofrendo vários ataques de SSH Brute Force, eu estou cansado de bloquear ip e o cara fica muando de ip na mesma hora e começando o ataque novamente :/ . preciso de uma dica de vocês de como resolver isso de uma maneira menos desgastante como ex: iptables -I INPUT -s ??.173.??.45 -j DROP. 1 por 1 é doze :p . por favor, se alguém souber de um bom script de firewall ou um programa para fazer isso fico muito grato :)

souzacarlos
(usa Outra)

Enviado em 23/04/2014 - 20:06h

Boa noite.

Já tentou mudar a porta do serviço?

Ou melhor restringe o acesso ao SSH somente a partir da rede local. Caso seja preciso acessar o servidor remotamente primeiro vc redireciona para um hospedeiro dentro da tua rede, somente após isso vc executa o acesso ao servidor em questão.

riesdra
(usa Debian)

Enviado em 23/04/2014 - 20:23h

a opção acima é muito boa, alterar a porta padrão para uma totalmente diferente ajuda muito, por padrão desabilite aceeso a ssh por root, e se puder fazer redirecionamento de acesso em duas máquina é ainda melhor;

segue algumas regras para teste

iptables -I INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource

iptables -I INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --name DEFAULT --rsource -j DROP

pode dar uma olhada nesta dica também
http://www.hardware.com.br/dicas/bloqueando-ataques-ssh.html