Tentativas de Acesso [RESOLVIDO]

matheusliniglia
(usa Debian)

Enviado em 04/02/2019 - 11:13h

Bom dia!

Sou novo na área (Analista de Suporte Jr), e estou aprendendo muito em meu local de trabalho, com ferramentas Linux.
Por curiosidade, e devido a algumas ocorrências, fui mexer nos arquivos de Log, de tentativas de acesso /var/log/auth.log e auth.log.1

E me deparei com diversas mensagens, que me parece tentativas de acesso desse IP: 81.139.61.222 (IP desconhecido).

pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=81.139.61.222
194 Jan 29 02:21:18 Debian sshd[29784]: Failed password for invalid user oracle from 81.139.61.222 port 34476 ssh2
195 Jan 29 02:21:18 Debian sshd[29784]: Connection closed by 81.139.61.222 [preauth]
196 Jan 29 02:25:57 Debian sshd[29801]: warning: /etc/hosts.deny, line 17: missing ":" separator
197 Jan 29 02:25:59 Debian sshd[29801]: Invalid user oracle from 81.139.61.222


Eis a questão, devo me preocupar com essas tentativas de acesso? (Obs: A tentativa foi feita o dia inteiro 29Jan)
Seria realmente tentativa de acesso? (Pelo menos foi o que entendi em cima das pesquisas que foi feita)
Ou devo ficar tranquilo por meu Firewall esta bloqueando e notificando as tentativas.

Fico no aguardo de alguma resposta, estou estudando a fundo sobre Firewall (Squid, Iptables, Dansguard, Sarg) e quero abrir cada vez mais o entendimento de possíveis acesso, e a onde devo proteger minha rede de Trabalho.

Agradeço desde já.

msoliver
(usa Debian)

Enviado em 04/02/2019 - 16:12h

Boa tarde matheusliniglia.
Tem vários relatos sobre "tentativas" de invasão do ip em questão...
Vc usa algum serviço de DNS Dinâmico?
Caso positivo, mude a porta padrão, seja html, ftp, ssh, etc...
Numa ocasião, utilizei um "DNS Dinâmico", qdo verifiquei os logs, assustei....
Era o dia inteiro, com tentativas de acesso....
Alterei a porta padrão, e parou....
Não sei se foi coincidência...

Boa sorte.
Marcelo Oliver

matheusliniglia
(usa Debian)

Enviado em 04/02/2019 - 16:20h

Marcelo, muito obrigado pelo feeedback
Na empresa nosso DNS é estático.
Já foi feito esse procedimento de troca de porta para uma não padrão.

O engraçado, é que nesse mesmo dia da ocorrência que copiei a cima, foi o dia INTEIRO de tentativas de acesso, e em inúmeras portas.

Com algumas pesquisas, resolvi instalar o fail2ban. Achei bem interessante a configuração e a utilização do programa. Porém ainda tenho algumas duvidas que precisam ser esclarecidas, estou fazendo algumas pesquisas. rs

msoliver
(usa Debian)

Enviado em 04/02/2019 - 17:37h

Matheus,
Com "IP" estático, a probabilidade de ataques é muito maior....
Fique atento aos logs....

Em tempo:
Veja que nessa linha tem um erro:
196 Jan 29 02:25:57 Debian sshd[29801]: warning: /etc/hosts.deny, line 17: missing ":" separator

Att.:
Marcelo Oliver

matheusliniglia
(usa Debian)

Enviado em 04/02/2019 - 18:55h

Obrigado pela orientação Renato.
Me orientei sobre o assunto um pouco e realmente a uma preocupação, e ações que devem ser tomadas.
Instalei o mesmo, e já fiz as devidas configurações. Só teria uma dúvida em uma parte da configuração, vou aproveitar pra perguntar pra um especialista rsrs.
Fiz junto ao Iptables, que assim que passar de 3 tentativas de acesso, ele bloqueia o IP e coloca também junto a regra do mesmo.
Porém, fui tentar o acesso e mesmo com o IP bloqueado, aparecendo listado (Iptables -L) eu consigo o acesso ao acertar a senha, não é errado ? Não deveria bloquear pelo IP estar na lista? Será que tenho que arrumar a regra no Iptables?

renato_pacheco
(usa Debian)

Enviado em 05/02/2019 - 09:13h

Cara, o melhor a fazer é deixar q o fail2ban faça o bloqueio sozinho, sem intervenção manual. Como disse antes, o IP bloqueado é temporário (não me lembro o tempo agora) e ele vai impedir um número de tentativas por segundo. Isso é configurável e vc pode diminuir esse número de tentativas, se quiser. Não é recomendado mexer nos scripts do iptables q o fail2ban usa pra bloquear a origem. Se ainda o sintoma persistir (falei igual médico) jogue essas regras aqui pra verificarmos se está corretas.

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

matheusliniglia
(usa Debian)

Enviado em 05/02/2019 - 10:15h

Obrigado novamente!

Configurei e agora estou monitorando, por enquanto nenhuma "tentativa".
Acho que estava conseguindo o acesso, mesmo bloqueando que na configuração do fail2ban, coloquei o IP interno, e acho que ele não bloquearia a rede Interna.
Não consegui fazer um teste de "fora"

matheusliniglia
(usa Debian)

Enviado em 05/02/2019 - 10:17h

Renato, Gostaria de aproveitar a oportunidade e o conhecimento do senhor, para ver se pode me ajudar mais uma vez. rs

Estou tentando a configuração de uma VPN, estou usando o OpenVPN para isso. Já fiz todas as configurações, gereis os certificados e tudo mais. Porém de verdade, não sei como fazer o teste da VPN, e se a mesma esta funcionando corretamente.
Obs: Estou fazendo o teste da VPN dentro da Rede, não sei se esse é o problema com um SO Ubuntu.

renato_pacheco
(usa Debian)

Enviado em 05/02/2019 - 11:32h

Assim vc quebra as minhas pernas! aheuihauiehuiaeh! Ele bloqueia apenas IPs de acesso externo. Se vc testa internamente, ele detectará seu IP interno e não externo. Tem q ver tb em qual interface ele tá bloqueando (o fail2ban permite esse tipo de configuração). O certo é testar externamente e ver se ele tá te bloqueando. Ou vc pode fazer isso manualmente ou vc pode usar o hydra pra automatizar o bruteforce.

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh