Jump to content
Калькуляторы

Что или кто долбится мне в дверь

Всем привет. Тут в логах микротика обнаружил что кто-то или что-то постоянно долбится на него. С помощью правил защитил микротик от брута. И уже за 30 мин 4 разных ip попали в бан. Для интереса проверил эти адреса в 2ip.ru, показывает что айпи принадлежат разным странам. Что впринципе вообще это может быть?

post-129627-038141600 1442397214_thumb.jpg

post-129627-044650300 1442397222_thumb.jpg

Share this post


Link to post
Share on other sites

Что впринципе вообще это может быть?

С открытием скан-ботов Вас! Они еще и telnet регулярно щупают. :-)

Share this post


Link to post
Share on other sites

Что впринципе вообще это может быть?

С открытием скан-ботов Вас! Они еще и telnet регулярно щупают. :-)

 

Пустил скупую мужскую слезу ... /*всхлипывая*/

ностальгия - все мы были такими, когда-то

Share this post


Link to post
Share on other sites

ssh на какой-нибудь другой порт перенесите, пусть дальше вслепую щупают )

Share this post


Link to post
Share on other sites

Да заметил что и на telnet долбятся. Так что лучше делать порты на другие поменять или фаерволом защититься?

Share this post


Link to post
Share on other sites

Так что лучше делать порты на другие поменять или фаерволом защититься?

Фаером, конечно. Пускать соединения только оттуда, откуда можно.

Share this post


Link to post
Share on other sites

Да заметил что и на telnet долбятся. Так что лучше делать порты на другие поменять или фаерволом защититься?

 

ставлю галку напротив пункта "порты" )

ну и конечно файервол никто не отменял ...

Edited by optimous

Share this post


Link to post
Share on other sites

Да заметил что и на telnet долбятся. Так что лучше делать порты на другие поменять или фаерволом защититься?

А вам нужно чтоб была возможность управления с интернета микротиком?

Если нет то пропишите разрешённые для удалённого управления сетки в IP/Services или в файрволле правила запрещающие управление с внешнего интерфейса пропишите.

Edited by NikAlexAn

Share this post


Link to post
Share on other sites
Всем привет. Тут в логах микротика обнаружил что кто-то или что-то постоянно долбится на него. С помощью правил защитил микротик от брута. И уже за 30 мин 4 разных ip попали в бан. Для интереса проверил эти адреса в 2ip.ru, показывает что айпи принадлежат разным странам. Что впринципе вообще это может быть?

Это в африке у тебя умер дядя-король и теперь тебе пытаются перечислить его богатства и гарем :)

 

Долбятся да долбятся, обычное дело, как и сканирование портов.

У меня даже до подбора пароля не доходят, ибо криптографию согласовать не могут: я все старое отключил, оставил только несколько самых надёжных алгоритмов.

Для самого себя это не мешает, ибо у меня последний OpenSSH, с винды только тератерм может подключится.

Раньше была чуть более жёсткая политика на число попыток ввода пароля.

 

Банилки по IP не работают: иногда брутит большой ботнет распределённо, и логины/пароли идут в алфавитном порядке но с разных IP которые редко повторяются.

 

### CRYPTO

Protocol 2

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes256-ctr

MACs hmac-sha2-256-etm@openssh.com,hmac-sha2-256

RekeyLimit 1G 30d

 

 

 

### AUTHENTICATION

# HostKeys for protocol version 2

HostKey /etc/ssh/ssh_host_ed25519_key

#HostKey /etc/ssh/ssh_host_ecdsa_key

#HostKey /etc/ssh/ssh_host_rsa_key

#HostKey /etc/ssh/ssh_host_dsa_key

#HostCertificate /etc/ssh/...

#TrustedUserCAKeys /etc/ssh/...

 

KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521

 

LoginGraceTime 2m

MaxStartups 3:50:10

MaxAuthTries 3

 

 

hmac-sha2-256-etm@openssh.com,hmac-sha2-256 - нужны только для aes256-ctr

ecdh-sha2-nistp521 - используется для пересогласования ключей, хз, без него не работает, хотя должно.

Share this post


Link to post
Share on other sites

Долбятся да долбятся, обычное дело, как и сканирование портов.

У меня даже до подбора пароля не доходят, ибо криптографию согласовать не могут: я все старое отключил, оставил только несколько самых надёжных алгоритмов.

...

Раньше была чуть более жёсткая политика на число попыток ввода пароля.

Зачем такие сложности? Оставить авторизацию ТОЛЬКО на ключе и пусть 2048 ключь хоть до позеленения подбирают. :-)

 

Только не поможет это - у ТС на Микротик ломятся.

Share this post


Link to post
Share on other sites

Микротик можно вообще не закрывать, ломятся и ломятся, все равно пароль не подберут, а если подберут, зайдут и увидят болт, т.к. те команды, что будут пытаться влить, микротик не понимает.

Share this post


Link to post
Share on other sites

подписался на комменты

Share this post


Link to post
Share on other sites
Зачем такие сложности? Оставить авторизацию ТОЛЬКО на ключе и пусть 2048 ключь хоть до позеленения подбирают. :-)

1. У него не такая уж и большая безопасность. см стр 2: http://tools.ietf.org/html/rfc4492

2. У тика грузит проц, когда хэндшейк делается, и RSA только усугубляет ситуацию.

Share this post


Link to post
Share on other sites

2. У тика грузит проц, когда хэндшейк делается, и RSA только усугубляет ситуацию.

Тогда зачем плохое советуете? :-) Закрыть фаером все лишнее и дело с концом.

 

Микротик можно вообще не

Так лучше. :))

 

1. У него не такая уж и большая безопасность. см стр 2: http://tools.ietf.org/html/rfc4492

Это про скорость подбора. И пока элиптику еще не акселерировали. Подбору 2048 DSA на удаленном шеле никак не способствует.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this