[FUG-BR] [OFF TOPIC] Ataques...

Marcello Costa unixmafia em yahoo.com.br
Quinta Dezembro 7 16:19:51 BRST 2006 

completando tem o knock , não me lembro bem o nome , que espera uma toc
toc em uma determinada porta para abrir a porta que vc queira o ssh , só
faltou a sonoplastia na explicação , hehehe

[]'s

Em Qui, 2006-12-07 às 15:15 -0300, thiago at imbituba.sc.gov.br escreveu:
> Mas por exemplo, a porta 5122 nao está entre as defaults do nmap!
> soh pegaria essa porta se usasse o argumento "-p 1-65535".
> a maioria dos bruteforce vao em cima da 22, aqui acabou todos os
> problemas...
> outra coisa q se pode fazer, e trancar por fingerprint no pf.
> O nmap por exemplo, nao acha nada.
> 
> block drop in quick on $ext_if1 from any os {SCO,NMAP,LINUX}
> 
> Nao só o nmap, como SCO e LINUX.
> Se existir algum linux na rede, pode ter certeza que ele nao navega.
> 
> Outra coisa, se nao me engano, o snort resolve esse tipo de problema...
> 
> 
> Em 7/12/2006, "Marcello Costa" <unixmafia at yahoo.com.br> escreveu:
> 
> >Em Qui, 2006-12-07 às 13:40 -0300, thiago at imbituba.sc.gov.br escreveu:
> >> Essa mensagem nao é do mta, e sim do sshd.
> >> Existe uma maneira BEM simples que resolveria seu problema.
> >> Troque de porta! Tire da 22... Aqui por exemplo, eu costumo usar a 666,
> >> 5122, 226 ...
> >> :)
> >> 
> >
> >Eu particularmente não gosto muito de mudar as portas , mas a mensagem
> >como esta no link que coloquei é o ssh reportando tentativas de login do
> >dominio, provavelmente um adsl, acho que filtrar melhor a porta 22
> >melhor que trocar de porta e não deixar ela filtrada, mesmo pq assim um
> >nmap da vida logo acha a tal 666.
> >
> >a regra:
> >
> >add 1001 allow tcp from ipquepodefazerssh to me dst-port 22 limit
> >src-addr 1
> >
> >permite que seja feito apenas uma sessão por vez do ipquepodefazerssh ,
> >resumindo , resolve o problema no firewall antes da conexão chegar ao
> >ssh, claro que ainda pode fazer algum ajuste no ssh, agora quer ser
> >malvado, coloque depois a regra:
> >
> >add 1002 reset all from any to me ssh
> >
> >reset   Discard packets that match this rule, and if the packet is a TCP
> >             packet, try to send a TCP reset (RST) notice.  The search
> >terminates.
> >
> >
> >
> >[]'s
> >
> >
> >> Em 7/12/2006, "Marcello Costa" <unixmafia at yahoo.com.br> escreveu:
> >> 
> >> >Em Qui, 2006-12-07 Ã s 09:59 -0300, Junior Pires escreveu:
> >> >> Esse log, eu peguei num e-mail que o MTA manda pra mim todos os dias, na
> >> >> parte de security...
> >> >>
> >> >>
> >> >tem essas referencias aqui
> >> >
> >> >http://www.freebsdforums.org/forums/showthread.php?t=45527
> >> >
> >> >http://lists.freebsd.org/pipermail/freebsd-questions/2006-April/120337.html
> >> >
> >> >
> >> >eu recomendaria vc filtrar mais as conexões do ssh no firewall, algo
> >> >como :
> >> >
> >> >allow tcp from ipquepodefazerssh to me dst-port 22 limit src-addr 1
> >> >
> >> >e evitar ser scaneado:
> >> >
> >> >00300    0       0 deny log tcp from any to any ipoptions ssrr,lsrr,rr
> >> >00310    0       0 deny log tcp from any to any tcpflags syn,fin
> >> >00320    0       0 deny log tcp from any to any tcpflags syn,rst
> >> >
> >> >[]'s
> >> >
> >> >
> >> >--
> >> >Marcello Costa
> >> >BSD System Engineer
> >> >unixmafia at yahoo dot com dot br
> >> >FUG-BR #156
> >> >http://www.fug.com.br
> >> >
> >> >
> >> >
> >> >_______________________________________________________
> >> >Yahoo! Acesso Grátis - Internet rápida e grátis. Instale
> >> >o discador agora!
> >> >http://br.acesso.yahoo.com
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >-- 
> >Marcello Costa
> >BSD System Engineer
> >unixmafia at yahoo dot com dot br
> >FUG-BR #156 
> >http://www.fug.com.br
> >
> >
> >		
> >_______________________________________________________ 
> >Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! 
> >http://br.mobile.yahoo.com/mailalertas/ 
> > 
> >
> >-------------------------
> >Histórico: http://www.fug.com.br/historico/html/freebsd/
> >Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-- 
Marcello Costa
BSD System Engineer
unixmafia at yahoo dot com dot br
FUG-BR #156 
http://www.fug.com.br


		
_______________________________________________________ 
Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! 
http://br.mobile.yahoo.com/mailalertas/

Mais detalhes sobre a lista de discussão freebsd