[MASOCH-L] Ataques ssh

Claudio Correa Porto claudio at intron.com.br
Sat Nov 19 12:20:57 BRST 2005


Olá Dario.

A Primeira linha significa que o root efetuou login pelo IP 201.0.124.212. Se 
não foi você, significa que outra pessoa fez isto. E sim, você foi invadido.

É recomendável que você reinstale todo o sistema. 

Neste novo sistema, instale o IPTABLES, e configure um Firewall, limitando os 
acessos apenas a partir do(s) IP(s) que você utiliza para acesso remoto.

Configure o /etc/hosts.deny para 
ALL:ALL 

e o /etc/hosts.allow 
para ALL:IP_USADO_PARA_ACESSO_REMOTO

Configure também no /etc/ssh/sshd_config restrição de acesso ao root, aterando 
a linha "PermitRootLogin yes" para "PermitRootLogin no" e crie um usuário 
para acesso, com senha diferente do root, e somente acesse o sistema com este 
usuário. Quando precisar utilizar o root, use o comando "/bin/su -" ou "sudo"

Além disso altere a porta do ssh de 22 para uma outra qualquer, para evitar 
ataques automatizados (embora isto não proteja com tanta eficiência), 
alterando a linha "Port 22" também no  /etc/ssh/sshd_config

E uma dica importante, nunca acesse via ssh, ou qualquer outro método, a 
partir de uma máquina não confiável ou de terceiros, pois o teclado pode 
estar sendo capturado, e a sua senha de 15 caracteres sendo armazenada em um 
arquivo. (O que pode ter acontecido)

Estas são algumas medidas de segurança, entre outras, como instalar um IDS, 
etc...

Boa sorte.
Claudio C. Porto

Em Sáb 19 Nov 2005 04:32, Dario escreveu:
> Olha só meu log de autenticação:
>
> Nov 18 19:37:38 firewall sshd[9360]: Accepted keyboard-interactive/pam for
> root from 201.0.124.212 port 50907 ssh2
> Nov 18 19:37:39 firewall sshd[9390]: (pam_unix) session opened for user
> root by root(uid=0)
> Nov 18 19:39:01 firewall CRON[9573]: (pam_unix) session opened for user
> root by (uid=0)
> Nov 18 19:39:01 firewall CRON[9573]: (pam_unix) session closed for user
> root Nov 18 19:48:38 firewall sshd[10681]: Accepted
> keyboard-interactive/pam for root from 201.6.41.230 port 1139 ssh2
> Nov 18 19:48:38 firewall sshd[10711]: (pam_unix) session opened for user
> root by root(uid=0)
>
> Isso significa q o cara já conseguiu me invadir ? se sim, podem me dizer
> como fazer pra me defender disso ? minha senha acho q naum pode ser, alem
> de ter trocado ela 4 vezes ela tem 15 caracteres. Sou noob no assunto
> servidor e principalmente em segurança.
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l


More information about the masoch-l mailing list