[FUG-BR] Ataques?

Trober trober em trober.com
Segunda Outubro 5 08:48:35 BRT 2009 

> Pessoal,
>
> Eu estou utilizando o SSHGuard para bloquear automaticamente as tentativas
> de acesso repetidas e inválidas ao meu SSH no servidor. Tudo estava
> funcionando normalmente há uns dias, porém, analisando meus logs, observei
> que tenho agora várias tentativas com diferentes IPs, vejam:
>
> Oct  4 10:05:06 brain sshguard[74798]: Blocking 220.194.201.208: 4
> failures
> over 0 seconds.
> Oct  4 10:05:57 brain sshguard[74798]: Blocking 119.62.128.44: 4 failures
> over 0 seconds.
> Oct  4 10:06:51 brain sshguard[74798]: Blocking 200.146.104.143: 4
> failures
> over 0 seconds.
> Oct  4 10:07:27 brain sshguard[74798]: Blocking 221.210.158.224: 4
> failures
> over 1 seconds.
> Oct  4 10:08:20 brain sshguard[74798]: Blocking 80.153.125.224: 4 failures
> over 1 seconds.
> Oct  4 10:09:25 brain sshguard[74798]: Blocking 58.26.82.163: 4 failures
> over 7 seconds.
> Oct  4 10:09:46 brain sshguard[74798]: Blocking 148.244.228.152: 4
> failures
> over 0 seconds.
> Oct  4 10:10:26 brain sshguard[74798]: Blocking 219.160.169.15: 4 failures
> over 1 seconds.
> Oct  4 10:11:17 brain sshguard[74798]: Blocking 82.76.170.45: 4 failures
> over 3 seconds.
> Oct  4 10:12:02 brain sshguard[74798]: Blocking 87.106.219.143: 4 failures
> over 0 seconds.
> Oct  4 10:12:47 brain sshguard[74798]: Blocking 201.26.172.213: 4 failures
> over 0 seconds.
> Oct  4 10:13:21 brain sshguard[74798]: Release command failed. Exited: -1
>
> Isto é parte do log, que tem inúmeras tentativas.
>
> Pelo que observei, o sshguard está criando as regras corretamente no meu
> IPFW, mas queria saber se isto é normal e se tem alguma forma de melhorar
> este bloqueio.
>
> Valeu!
>
> []s
>
> Emmanuel Alves
> manel.pb em gmail.com
>



Bom dia Emmanuel.

Sim, estes ataques (tentativas) de acesso estão praticamente
convencionados com "normais".

As ferramentas utilizadas, em geral, varrem faixas de endereço
sequenciais, blocos (AS) ou pre-armezenados em banco de dados (até .txt
está valendo).

Uma forma muito simples de otimizar é alterar a porta do serviço SSHD, já
que, por padrão, a ferramenta testa (normalmente só) a porta 22 TCP.

Não use as portas 222, 2222, 22222, nem outros valores cognitivamente
simples. É muito "manjado", para não dizer óbvio.

A simples alteração da porta faz você ficar meses sem registrar um acesso
não concedido (experiência própria).

Não julgo prudente dar dicas de recursos que não testei, mas, pode ser
interesssante usar um mecanismo no estilo knock[1]. Analogamente, seria
como só deixar entrar na sua casa, só quem bater a quantidade de vezes
corretas, em cada porta sua, na sequência certa. Algo como sinais de
escoteiros e derivados, em que seus pares se identificam como tal.

[1]http://www.freebsd.org/cgi/url.cgi?ports/security/knock/pkg-descr

Uma ótima semana a todos.

Saudações,

Trober
-
-
-
-
-

Mais detalhes sobre a lista de discussão freebsd