Duvida - Tentativas de acesso força bruta

1. Duvida - Tentativas de acesso força bruta

Natalia Belarte
natalia.belarte

(usa Debian)

Enviado em 13/09/2022 - 08:59h

Bom dia Pessoal, recebi um email com o seguinte conteudo abaixo, alguem tem alguma dica como analisar meu server e verificar se isso é real,
inicialmente ja varri meu servidor atras de logs, falhas de configuração no iptables e etc, mas não encontrei nada. Alguem ja passou por essa situação?

Conteudo do email

ABUSE attempt from Your network (xxx.2xx.3x0.2xx) - Authfail
abuse abuse@bmk-it.com
Para: Você cert@cert.br mail-abuse@cert.br
Cópia: root@mail-gw.bmk-it.com
12/09/2022 | 20:00

Would You be so kind to do somethink with Your customer!?
Authfail notified bruteforce login attempt to our system from IP:
xxx.2xx.3x0.2xx
logging following details:
Sep 13 00:54:10 bmk-esxi2-fw2 sshd[3953914]: User root from xxx.2xx.3x0.2xx not allowed because not listed in AllowUsers
Sep 13 00:54:11 bmk-esxi2-fw2 sshd[3953914]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.2xx.3x0.2xx user=root
Sep 13 00:54:13 bmk-esxi2-fw2 sshd[3953914]: Failed password for invalid user root from xxx.2xx.3x0.2xx port 42122 ssh2
Sep 13 00:54:14 bmk-esxi2-fw2 sshd[3953914]: Received disconnect from xxx.2xx.3x0.2xx port 42122:11: Bye Bye [preauth]
Sep 13 00:54:14 bmk-esxi2-fw2 sshd[3953914]: Disconnected from invalid user root xxx.2xx.3x0.2xx port 42122 [preauth]
Sep 13 00:59:42 bmk-esxi2-fw2 sshd[3954031]: Invalid user sorlag44 from xxx.2xx.3x0.2xx port 38488
Sep 13 00:59:42 bmk-esxi2-fw2 sshd[3954031]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.2xx.3x0.2xx
Sep 13 00:59:44 bmk-esxi2-fw2 sshd[3954031]: Failed password for invalid user sorlag44 from xxx.2xx.3x0.2xx port 38488 ssh2
Sep 13 00:59:47 bmk-esxi2-fw2 sshd[3954031]: Received disconnect from xxx.2xx.3x0.2xx port 38488:11: Bye Bye [preauth]
Sep 13 00:59:47 bmk-esxi2-fw2 sshd[3954031]: Disconnected from invalid user sorlag44 xxx.2xx.3x0.2xx port 38488 [preauth]
Sep 13 01:00:04 bmk-esxi2-fw2 sshd[3954039]: User root from xxx.2xx.3x0.2xx not allowed because not listed in AllowUsers
Sep 13 01:00:04 bmk-esxi2-fw2 sshd[3954039]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.2xx.3x0.2xx user=root


You can read the timezone of login attemtps in email header.
Your xxx.2xx.3x0.2xx has been added to our ACL with BLOCK rule.

Thanks a lot.

Best regards,
Authfail - http://www.bmk-it.com/projects/authfail/


  


2. Re: Duvida - Tentativas de acesso força bruta

Xerxes
xerxeslins

(usa openSUSE)

Enviado em 13/09/2022 - 09:40h


Não sei, mas é suspeito esse site sem certificado SSL no final da mensagem. Eu nem entraria.

--
Chega uma hora na vida que você só quer bater o prego e não perder tempo estudando a ciência da construção de um martelo.



3. Re: Duvida - Tentativas de acesso força bruta

Luca Rigoni Torres
slycooperbr80

(usa OpenBSD)

Enviado em 13/09/2022 - 13:16h


Acho bem desnecessário provavelmente é uma ferramenta automatizada que enviou pra mais um na multidao, sobre o tls serve mais para controle dos servidores sobre voce do que o contrário.


4. Re: Duvida - Tentativas de acesso força bruta

leandro peçanha scardua
leandropscardua

(usa Ubuntu)

Enviado em 13/09/2022 - 15:03h

O comando lastb mostra tentativas de login sem sucesso, se o conteúdo existirr vai estar lá. Agora, primeiro cheque sua máquina, se vc desconfia da mensagem pode ser que um atacante queira justamente que você faça o acesso a essa máquina.



5. Re: Duvida - Tentativas de acesso força bruta

Daniel Lara Souza
danniel-lara

(usa Fedora)

Enviado em 14/09/2022 - 15:47h


usa o fail2ban , ajuda muito

https://adamtheautomator.com/fail2ban-ssh/


6. Re: Duvida - Tentativas de acesso força bruta

Alberto Federman Neto.
albfneto

(usa openSUSE)

Enviado em 15/09/2022 - 17:13h

Pode ser falso, fake, porque a home page que ele cita nem existe mais.


¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨
Albfneto,
Ribeirão Preto, S.P., Brasil.
Usuário Linux, Linux Counter: #479903.
Distros Favoritas: Sabayon, Gentoo, openSUSE, Mageia e OpenMandriva.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts