Jump to content

Что или кто долбится мне в дверь

ssjerat
 Share

Recommended Posts

ssjerat

ssjerat

Posted
Posted

Всем привет. Тут в логах микротика обнаружил что кто-то или что-то постоянно долбится на него. С помощью правил защитил микротик от брута. И уже за 30 мин 4 разных ip попали в бан. Для интереса проверил эти адреса в 2ip.ru, показывает что айпи принадлежат разным странам. Что впринципе вообще это может быть?

post-129627-038141600 1442397214_thumb.jpg

post-129627-044650300 1442397222_thumb.jpg

alks

alks

Posted
Posted

Что впринципе вообще это может быть?

С открытием скан-ботов Вас! Они еще и telnet регулярно щупают. :-)

 

Пустил скупую мужскую слезу ... /*всхлипывая*/

ностальгия - все мы были такими, когда-то

snvoronkov

snvoronkov

Posted
Posted

Так что лучше делать порты на другие поменять или фаерволом защититься?

Фаером, конечно. Пускать соединения только оттуда, откуда можно.

optimous

optimous

Posted
Posted (edited)

Да заметил что и на telnet долбятся. Так что лучше делать порты на другие поменять или фаерволом защититься?

 

ставлю галку напротив пункта "порты" )

ну и конечно файервол никто не отменял ...

Edited by optimous
NikAlexAn

NikAlexAn

Posted
Posted (edited)

Да заметил что и на telnet долбятся. Так что лучше делать порты на другие поменять или фаерволом защититься?

А вам нужно чтоб была возможность управления с интернета микротиком?

Если нет то пропишите разрешённые для удалённого управления сетки в IP/Services или в файрволле правила запрещающие управление с внешнего интерфейса пропишите.

Edited by NikAlexAn
Ivan_83

Ivan_83

Posted
Posted
Всем привет. Тут в логах микротика обнаружил что кто-то или что-то постоянно долбится на него. С помощью правил защитил микротик от брута. И уже за 30 мин 4 разных ip попали в бан. Для интереса проверил эти адреса в 2ip.ru, показывает что айпи принадлежат разным странам. Что впринципе вообще это может быть?

Это в африке у тебя умер дядя-король и теперь тебе пытаются перечислить его богатства и гарем :)

 

Долбятся да долбятся, обычное дело, как и сканирование портов.

У меня даже до подбора пароля не доходят, ибо криптографию согласовать не могут: я все старое отключил, оставил только несколько самых надёжных алгоритмов.

Для самого себя это не мешает, ибо у меня последний OpenSSH, с винды только тератерм может подключится.

Раньше была чуть более жёсткая политика на число попыток ввода пароля.

 

Банилки по IP не работают: иногда брутит большой ботнет распределённо, и логины/пароли идут в алфавитном порядке но с разных IP которые редко повторяются.

 

### CRYPTO

Protocol 2

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes256-ctr

MACs hmac-sha2-256-etm@openssh.com,hmac-sha2-256

RekeyLimit 1G 30d

 

 

 

### AUTHENTICATION

# HostKeys for protocol version 2

HostKey /etc/ssh/ssh_host_ed25519_key

#HostKey /etc/ssh/ssh_host_ecdsa_key

#HostKey /etc/ssh/ssh_host_rsa_key

#HostKey /etc/ssh/ssh_host_dsa_key

#HostCertificate /etc/ssh/...

#TrustedUserCAKeys /etc/ssh/...

 

KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521

 

LoginGraceTime 2m

MaxStartups 3:50:10

MaxAuthTries 3

 

 

hmac-sha2-256-etm@openssh.com,hmac-sha2-256 - нужны только для aes256-ctr

ecdh-sha2-nistp521 - используется для пересогласования ключей, хз, без него не работает, хотя должно.

snvoronkov

snvoronkov

Posted
Posted

Долбятся да долбятся, обычное дело, как и сканирование портов.

У меня даже до подбора пароля не доходят, ибо криптографию согласовать не могут: я все старое отключил, оставил только несколько самых надёжных алгоритмов.

...

Раньше была чуть более жёсткая политика на число попыток ввода пароля.

Зачем такие сложности? Оставить авторизацию ТОЛЬКО на ключе и пусть 2048 ключь хоть до позеленения подбирают. :-)

 

Только не поможет это - у ТС на Микротик ломятся.

Saab95

Saab95

Posted
Posted

Микротик можно вообще не закрывать, ломятся и ломятся, все равно пароль не подберут, а если подберут, зайдут и увидят болт, т.к. те команды, что будут пытаться влить, микротик не понимает.

Ivan_83

Ivan_83

Posted
Posted
Зачем такие сложности? Оставить авторизацию ТОЛЬКО на ключе и пусть 2048 ключь хоть до позеленения подбирают. :-)

1. У него не такая уж и большая безопасность. см стр 2: http://tools.ietf.org/html/rfc4492

2. У тика грузит проц, когда хэндшейк делается, и RSA только усугубляет ситуацию.

snvoronkov

snvoronkov

Posted
Posted

2. У тика грузит проц, когда хэндшейк делается, и RSA только усугубляет ситуацию.

Тогда зачем плохое советуете? :-) Закрыть фаером все лишнее и дело с концом.

 

Микротик можно вообще не

Так лучше. :))

 

1. У него не такая уж и большая безопасность. см стр 2: http://tools.ietf.org/html/rfc4492

Это про скорость подбора. И пока элиптику еще не акселерировали. Подбору 2048 DSA на удаленном шеле никак не способствует.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.