Re: [OT] brute force
No dia 08/07/2005 às 11:46,
fabiano <fabiano@atua.com.br> escreveu:
> Bom dia galera... seguinte acho que este assunto eh meio off topic,
> mas gostaria de saber se alguem tem alguma informaçao sobre supostos
> ataques brute force que estao acontecendo.
> Tipo de 23 maquians que sou adm 20 foram "vitimas" de tentativas de
> ataque brute force ao ssh com a mesma lista de users...
> Me assustei com isso.. o "atacante" nao obteve sucesso mas achei muito
> estranho isso ter acontecido na ultima semana em 20 maquinas ... seria
> alguma onda de ataques?
> Desculpem os erros de portugues mas estou na correria(normal)!!
Uma vez percebi essa tentativa de ataque na minha máquina. Então
resolvi criar uma conta com login e senha constantes no dicionário
deles e observei o comportamento após conseguirem acesso.
O robô instala em um diretório público e razoavelmente escondido (acho
que era em (/var/tmp/.tmp) um conjunto de utilitários que fazem sua
máquina transformar-se em um "zumbi" de ataque. Ela então passa a
procurar em uma certa faixa de IPs máquinas igualmente vulneráveis,
gerando uma lista de endereços encontrados e instalando os mesmos
utilitários nessas máquinas --possivelmente viria outro robô (ou o
próprio hacker) e então recolheria tal lista.
Na época também reportei aos IPs que me "atacaram" que eles estavam
tomados por tal robô (se não estavam agindo de má-fé), mas não obtive
qualquer resposta.
De qualquer forma a questão é extremamente simples, cuide para usar
senhas fortes (mais perigoso quando não se tem controle sobre usuários)
e talvez seja interessante limitar a fonte de acesso por alguma
restrição no iptables. E, claro, não permitir de forma alguma o login
direto do root via ssh.
--
Douglas Augusto
[Netiqueta]
§ Assuntos fora do perfil da lista deveriam ser evitados e, quando
ocorrer, vir marcados com [off-topic] ou [OT].
Reply to: