Marcos.
Eu uso o DenyHosts que é um script feito em AWK, que barra os IP's que
tentam Brute Force por SSH.
http://denyhosts.sourceforge.net
É bem simples de utilizar.
Mas se vc não precisar deixar a porta do SSH para acesso externo,
seria melhor colocar uma regra bloqueando.
Abs,
On 4/17/06, Marcos Vinicius Lazarini <lazarini@nics.unicamp.br> wrote:
Jésus R. wrote:
Pessoal, tenho um FIREWALL configurado aqui na empresa para barrar os
acessos ao serviço ssh fora da minha rede interna.
Mas de alguma forma alguém conseguiu chegar a porta do meu servidor.
Alguém já passou por este problema ? Sabe como conseguiram acessar o
serviço ?
O Log gerado pelo ssh é o seguinte:
Apr 13 23:36:58 localhost sshd[22174]: Did not receive identification
string from ::ffff:125.241.3.121
Apr 13 23:52:45 localhost sshd[22299]: Illegal user test from
::ffff:125.241.3.121
Apr 13 23:52:48 localhost sshd[22305]: Illegal user test from
::ffff:125.241.3.121
Apr 13 23:52:51 localhost sshd[22330]: Illegal user test from
::ffff:125.241.3.121
Bom, das duas uma: ou é alguem de dentro com um IP fabricado (spoofing) ou
então vc não tá bloqueando as conexões vindas de fora...
Também pode ser um port-forward, mas diria que é mais remoto...
Tenta fazer um portscan por esses sites pela internet (grc.com symantec
mcaffe etc) e veja se aparece alguma coisa.
--
Marcos
--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
--
_
°v° Sérgio Lopes- Analista de Sistema
/(_)\ São Paulo - SP - BRAZIL
^ ^ Linux user number 373166