[FUG-BR] [OFF TOPIC] Ataques...

thiago em imbituba.sc.gov.br thiago em imbituba.sc.gov.br
Quinta Dezembro 7 16:15:55 BRST 2006


Mas por exemplo, a porta 5122 nao está entre as defaults do nmap!
soh pegaria essa porta se usasse o argumento "-p 1-65535".
a maioria dos bruteforce vao em cima da 22, aqui acabou todos os
problemas...
outra coisa q se pode fazer, e trancar por fingerprint no pf.
O nmap por exemplo, nao acha nada.

block drop in quick on $ext_if1 from any os {SCO,NMAP,LINUX}

Nao só o nmap, como SCO e LINUX.
Se existir algum linux na rede, pode ter certeza que ele nao navega.

Outra coisa, se nao me engano, o snort resolve esse tipo de problema...


Em 7/12/2006, "Marcello Costa" <unixmafia at yahoo.com.br> escreveu:

>Em Qui, 2006-12-07 às 13:40 -0300, thiago at imbituba.sc.gov.br escreveu:
>> Essa mensagem nao é do mta, e sim do sshd.
>> Existe uma maneira BEM simples que resolveria seu problema.
>> Troque de porta! Tire da 22... Aqui por exemplo, eu costumo usar a 666,
>> 5122, 226 ...
>> :)
>> 
>
>Eu particularmente não gosto muito de mudar as portas , mas a mensagem
>como esta no link que coloquei é o ssh reportando tentativas de login do
>dominio, provavelmente um adsl, acho que filtrar melhor a porta 22
>melhor que trocar de porta e não deixar ela filtrada, mesmo pq assim um
>nmap da vida logo acha a tal 666.
>
>a regra:
>
>add 1001 allow tcp from ipquepodefazerssh to me dst-port 22 limit
>src-addr 1
>
>permite que seja feito apenas uma sessão por vez do ipquepodefazerssh ,
>resumindo , resolve o problema no firewall antes da conexão chegar ao
>ssh, claro que ainda pode fazer algum ajuste no ssh, agora quer ser
>malvado, coloque depois a regra:
>
>add 1002 reset all from any to me ssh
>
>reset   Discard packets that match this rule, and if the packet is a TCP
>             packet, try to send a TCP reset (RST) notice.  The search
>terminates.
>
>
>
>[]'s
>
>
>> Em 7/12/2006, "Marcello Costa" <unixmafia at yahoo.com.br> escreveu:
>> 
>> >Em Qui, 2006-12-07 Ã s 09:59 -0300, Junior Pires escreveu:
>> >> Esse log, eu peguei num e-mail que o MTA manda pra mim todos os dias, na
>> >> parte de security...
>> >>
>> >>
>> >tem essas referencias aqui
>> >
>> >http://www.freebsdforums.org/forums/showthread.php?t=45527
>> >
>> >http://lists.freebsd.org/pipermail/freebsd-questions/2006-April/120337.html
>> >
>> >
>> >eu recomendaria vc filtrar mais as conexões do ssh no firewall, algo
>> >como :
>> >
>> >allow tcp from ipquepodefazerssh to me dst-port 22 limit src-addr 1
>> >
>> >e evitar ser scaneado:
>> >
>> >00300    0       0 deny log tcp from any to any ipoptions ssrr,lsrr,rr
>> >00310    0       0 deny log tcp from any to any tcpflags syn,fin
>> >00320    0       0 deny log tcp from any to any tcpflags syn,rst
>> >
>> >[]'s
>> >
>> >
>> >--
>> >Marcello Costa
>> >BSD System Engineer
>> >unixmafia at yahoo dot com dot br
>> >FUG-BR #156
>> >http://www.fug.com.br
>> >
>> >
>> >
>> >_______________________________________________________
>> >Yahoo! Acesso Grátis - Internet rápida e grátis. Instale
>> >o discador agora!
>> >http://br.acesso.yahoo.com
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>-- 
>Marcello Costa
>BSD System Engineer
>unixmafia at yahoo dot com dot br
>FUG-BR #156 
>http://www.fug.com.br
>
>
>		
>_______________________________________________________ 
>Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! 
>http://br.mobile.yahoo.com/mailalertas/ 
> 
>
>-------------------------
>Histórico: http://www.fug.com.br/historico/html/freebsd/
>Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Mais detalhes sobre a lista de discussão freebsd