O derramamento de bílis não combina com a produção de neurônios - CARLOS AYRES BRITTO, presidente do STF

Leia mais...

A Aldeia Numaboa ancestral ainda está disponível para visitação. É a versão mais antiga da Aldeia que eu não quis simplesmente descartar depois de mais de 10 milhões de pageviews. Como diz a Sirley, nossa cozinheira e filósofa de plantão: "Misericórdia, ai que dó!"

Se você tiver curiosidade, o endereço é numaboa.net.br.

Leia mais...

A Aldeia Numaboa lhe dá as boas vindas!

SSH - Bloqueando ataques de login

Sex

14

Abr

2006


16:06
Detalhes
Categoria: Como fazer segurança
Acessos: 16733


Pagina 1 de 6
Image

Atualmente, uma das tentativas preferidas dos crackers é forçar a barra em cima do SSH. Bastou colocar meus servidores na zona desmilitarizada para que os logs que registram as tentativas de invasão engordassem em alguns megas todos os dias por conta de sucessivos usuários inexistentes e com senha recusada jogados em cima do SSH.

Analisando o intervalo entre tentativas consecutivas, ficou claro para mim que, na maioria dos casos, tratavam-se de ataques baseados em scripts e pilotados por kiddies ou até mesmo por máquinas zumbi. Mesmo que não tivessem conseguido invadir minhas máquinas, o simples fato de ficar comendo banda e engordando logs já era o suficiente para fazer com que eu perdesse a paciência e tomasse uma providência. Além do mais, eu sabia que apenas a senha escolhida estava segurando a barra, e isto não me agradava nem um pouco.

Se você tiver registros como o mostrado abaixo, então comece a pensar na possibilidade de tomar algumas medidas (espero que este artigo sirva para guiar seu caminho). Peguei um pedacinho do meu log (em /var/log/messages) onde, por incrível que pareça, aparecem dois ataques simultâneos:

Apr 13 17:24:30 nsvicki sshd[21998]: Failed password for root from 134.106.87.87 port 37068 ssh2
Apr 13 17:24:32 nsvicki sshd[22000]: Invalid user alexandra from 69.31.86.145
Apr 13 17:24:32 nsvicki sshd[22000]: reverse mapping checking getaddrinfo for eva222.named1.com
   failed - POSSIBLE BREAKIN ATTEMPT!
Apr 13 17:24:32 nsvicki sshd[22000]: Failed password for invalid user alexandra from 69.31.86.145
   port 50560 ssh2
Apr 13 17:24:32 nsvicki sshd[22004]: Failed password for root from 134.106.87.87 port 37244 ssh2
Apr 13 17:24:35 nsvicki sshd[22010]: Failed password for root from 134.106.87.87 port 37423 ssh2
Apr 13 17:24:35 nsvicki sshd[22007]: Invalid user alexandra from 69.31.86.145
Apr 13 17:24:35 nsvicki sshd[22007]: reverse mapping checking getaddrinfo for eva222.named1.com
   failed - POSSIBLE BREAKIN ATTEMPT!
Apr 13 17:24:35 nsvicki sshd[22007]: Failed password for invalid user alexandra from 69.31.86.145
   port 50827 ssh2
Apr 13 17:24:37 nsvicki sshd[22013]: Failed password for root from 134.106.87.87 port 37610 ssh2
Apr 13 17:24:38 nsvicki sshd[22016]: Invalid user alfred from 69.31.86.145
Apr 13 17:24:38 nsvicki sshd[22016]: reverse mapping checking getaddrinfo for eva222.named1.com
   failed - POSSIBLE BREAKIN ATTEMPT!

Sobre o OpenSSH

Antes de começar, uma observação: este texto se baseia no [url=http://www.openssh.com]OpenSSH[/url]. O OpenSSH é uma versão FREE das ferramentas de conectividade SSH bastante difundida e respeitada por usuários técnicos da Internet. Poucos se dão conta de que o telnet, rlogin e ftp transmitem as senhas através da rede sem criptografia. O OpenSSH encripta todo o tráfego (incluindo-se aí as senhas) para efectivamente eliminar interceptações, sequestro de conexões e outros ataques. Adicionalmente, o OpenSSH permite tunelamento seguro, possui vários métodos de autenticação e dá suporte a todas as versões do protocolo SSH. Para que funcione com a segurança desejada, o OpenSSH precisa estar configurado corretamente.

Informações adicionais