[MASOCH-L] RES: Ataques ssh

Dario niudelei at gmail.com
Sat Nov 19 20:23:56 BRST 2005 

Putz, brigadão pela dica... eu troquei a senha, configurei o ssh em outra
porta e dexei soh pro meu ip, ateh agora naum tive mais nenhum problema...
brigado mesmo. Agradeço tb ao Lao :)

-----Mensagem original-----
De: masoch-l-bounces at eng.registro.br
[mailto:masoch-l-bounces at eng.registro.br] Em nome de Claudio Correa Porto
Enviada em: sábado, 19 de novembro de 2005 12:21
Para: Mail Aid and Succor, On-line Comfort and Help
Assunto: Re: [MASOCH-L] Ataques ssh

Olá Dario.

A Primeira linha significa que o root efetuou login pelo IP 201.0.124.212.
Se 
não foi você, significa que outra pessoa fez isto. E sim, você foi invadido.

É recomendável que você reinstale todo o sistema. 

Neste novo sistema, instale o IPTABLES, e configure um Firewall, limitando
os 
acessos apenas a partir do(s) IP(s) que você utiliza para acesso remoto.

Configure o /etc/hosts.deny para 
ALL:ALL 

e o /etc/hosts.allow 
para ALL:IP_USADO_PARA_ACESSO_REMOTO

Configure também no /etc/ssh/sshd_config restrição de acesso ao root,
aterando 
a linha "PermitRootLogin yes" para "PermitRootLogin no" e crie um usuário 
para acesso, com senha diferente do root, e somente acesse o sistema com
este 
usuário. Quando precisar utilizar o root, use o comando "/bin/su -" ou
"sudo"

Além disso altere a porta do ssh de 22 para uma outra qualquer, para evitar 
ataques automatizados (embora isto não proteja com tanta eficiência), 
alterando a linha "Port 22" também no  /etc/ssh/sshd_config

E uma dica importante, nunca acesse via ssh, ou qualquer outro método, a 
partir de uma máquina não confiável ou de terceiros, pois o teclado pode 
estar sendo capturado, e a sua senha de 15 caracteres sendo armazenada em um

arquivo. (O que pode ter acontecido)

Estas são algumas medidas de segurança, entre outras, como instalar um IDS, 
etc...

Boa sorte.
Claudio C. Porto

Em Sáb 19 Nov 2005 04:32, Dario escreveu:
> Olha só meu log de autenticação:
>
> Nov 18 19:37:38 firewall sshd[9360]: Accepted keyboard-interactive/pam for
> root from 201.0.124.212 port 50907 ssh2
> Nov 18 19:37:39 firewall sshd[9390]: (pam_unix) session opened for user
> root by root(uid=0)
> Nov 18 19:39:01 firewall CRON[9573]: (pam_unix) session opened for user
> root by (uid=0)
> Nov 18 19:39:01 firewall CRON[9573]: (pam_unix) session closed for user
> root Nov 18 19:48:38 firewall sshd[10681]: Accepted
> keyboard-interactive/pam for root from 201.6.41.230 port 1139 ssh2
> Nov 18 19:48:38 firewall sshd[10711]: (pam_unix) session opened for user
> root by root(uid=0)
>
> Isso significa q o cara já conseguiu me invadir ? se sim, podem me dizer
> como fazer pra me defender disso ? minha senha acho q naum pode ser, alem
> de ter trocado ela 4 vezes ela tem 15 caracteres. Sou noob no assunto
> servidor e principalmente em segurança.
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list