Bom Dia pessoal, estou um pouco preocupado, desde ontem estou tendo ataque a minha rede e não sei o que fazer para para os ataques, já tentei BLOQUEAR O IP FAZENDO UMA REGRA NO FIREWALL DE ENTRADA E SAÍDA, JÁ ADD O IP NA LISTA DE SCAN DO ANTIVIRUS mas realmente não sei o que fazer. Alguém ai pode me ajudar.
No meus registros on line no Endian está aparecendo a informação abaixo, e fica a todo momento tentando acessar meu servidor. Minha versão do Endian e a 2.5.1 e fora isso não tenho nenhum problema.
snort[22969]: [1:2019876:2] ET SCAN SSH BruteForce Tool with fake PUTTY version [Classification: Detection of a Network Scan] [Priority: 3] {TCP} 116.31.116.27:44339 -> 192.168.x.xxx:22
Ataque externo - ET SCAN SSH BruteForce Tool with fake PUTTY version
-
RafaelAndreassa0772
- Newbie
- Mensagens: 8
- Registrado em: 23 Set 2016 10:57
- Status: Offline
-
marceloleaes
- Administrator
- Mensagens: 1516
- Registrado em: 10 Jun 2013 12:45
- Localização: Novo Hamburgo
- Idade: 41
- Contato:
- Status: Offline
Re: Ataque externo - ET SCAN SSH BruteForce Tool with fake PUTTY version
Tentar bloquear vai ser uma brincadeira de caça ao rato. Você bloqueia de um lado eles atacam de outro.
Remova a regra liberando o SSH e implemente OpenVPN para este acesso, com o SSH aberto os ataques irão continuar até quem sabe o atacante conseguir descobrir a sua senha na força bruta.
Remova a regra liberando o SSH e implemente OpenVPN para este acesso, com o SSH aberto os ataques irão continuar até quem sabe o atacante conseguir descobrir a sua senha na força bruta.
-
RafaelAndreassa0772
- Newbie
- Mensagens: 8
- Registrado em: 23 Set 2016 10:57
- Status: Offline
Re: Ataque externo - ET SCAN SSH BruteForce Tool with fake PUTTY version
Bom Dia, consegui resolver o problema, fiz da seguinte forma. Em Firewall\Redirecionamento de Porta / NAT de Destino troquei o IP de entrada deixando apenas o IP da empresa que e proprietária do ERP, Bloqueei os IPs que apareciam no registro on line, com a politica de DROP na filtragem e em Serviços\ Prevenção a Intrusão \ Editor ativei a regra de Brutal Force e coloquei ela para bloquear ataques. Mas de todas as alterações que fiz acredito que essas ultima regra seja a que realmente esteja fazendo a diferença.
Marceloleaes, sei que vai ser como você falou, uma brincadeira de gato e rato, vou deixar assim e fazer um teste para ver se vai dar certo caso não faço a Open VPN, eu monitorei o acesso esse final de semana e não teve nenhuma tentativa de ataque.
Marceloleaes, sei que vai ser como você falou, uma brincadeira de gato e rato, vou deixar assim e fazer um teste para ver se vai dar certo caso não faço a Open VPN, eu monitorei o acesso esse final de semana e não teve nenhuma tentativa de ataque.
-
marceloleaes
- Administrator
- Mensagens: 1516
- Registrado em: 10 Jun 2013 12:45
- Localização: Novo Hamburgo
- Idade: 41
- Contato:
- Status: Offline
Re: Ataque externo - ET SCAN SSH BruteForce Tool with fake PUTTY version
Se você pode criar uma regra permitindo somente o ip do desenvolvedor resolve o seu problema.
Edite a regra em modo avançado e no campo Acesso a partir de: insira o ip fixo do pessoal do ERP.
Agora, deixar o ssh aberto pra qualquer um, certo que vai seguir dando dor de cabeça.
Edite a regra em modo avançado e no campo Acesso a partir de: insira o ip fixo do pessoal do ERP.
Agora, deixar o ssh aberto pra qualquer um, certo que vai seguir dando dor de cabeça.
-
RafaelAndreassa0772
- Newbie
- Mensagens: 8
- Registrado em: 23 Set 2016 10:57
- Status: Offline
Re: Ataque externo - ET SCAN SSH BruteForce Tool with fake PUTTY version [RESOLVIDO]
E foi isso mesmo que fiz, deixei apenas o IP do desenvolvedor do ERP, antes estava aberto para qq conexão. Agradeço pela ajuda, sempre muito bom compartilhar ideias obrigado. :)