Атака на мой бедный микротик через ssh- это боты или кому то мой бедный роутер понадобился?

Question

[Dmitriy Mozgovoy]

Только восстановил интернет на роутере, файрволл и сервисы еще не успел настроить, отложил и спустя 3 часа пошли атаки на него утром и потом вечером, тупым перебором по ssh telnet.
Но мое железо вряд ли кому нужно, оно скромное. Похоже тупой брут по словарю с нескольких ip через прокси швейцарии, ветнама, мексики и т.д. Хотел узнать, у кого роутера микротики, у вас такое часто, т.е это робот сканит тупо всех и ломает найденные девайсы или это целенаправленная атака на мой?=) Систему не сломали, но все же интересно=)
Все обрубал уже...
(https://docs.google.com/document/d/1xwO9e8H2weFO0E...
Вырезка=)

MikroTik RouterOS 6.34.3 (c) 1999-2015       http://www.mikrotik.com/
[admin@RatNet] > log print
07:45:45 system,error,critical login failure for user root from 94.79.5.102 via ssh 
07:45:46 system,error,critical login failure for user http from 94.79.5.102 via ssh 
07:45:47 system,error,critical login failure for user root from 94.79.5.102 via ssh 
07:45:47 system,error,critical login failure for user bin from 94.79.5.102 via ssh 
07:45:48 system,error,critical login failure for user bin from 94.79.5.102 via ssh 
...
07:50:00 ssh,info auth timeout 
10:25:09 system,error,critical login failure for user root from 122.3.93.35 via telnet 
10:25:57 system,error,critical login failure for user root from 122.3.93.35 via telnet 
20:22:20 system,error,critical login failure for user ADMIN from 58.56.93.171 via ssh 
20:56:30 system,error,critical login failure for user bruno from 179.43.141.197 via ssh 
..
22:50:36 system,error,critical login failure for user admin from 223.115.44.254 via telnet 
...
22:52:28 system,error,critical login failure for user backup from 179.43.144.14 via ssh 
22:56:19 system,error,critical login failure for user admin from 182.122.106.17 via telnet

Answer 1

[Александр Романов]

Я могу посоветовать использовать следующую цепочку в файерволе:

/ip firewall filter

add action=jump chain=input comment="sshbruteforces chain" connection-state=\
    new dst-port=22 jump-target=sshbruteforces protocol=tcp
add action=drop chain=sshbruteforces comment="drop ssh brute forcers" \
    src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=sshbruteforces connection-state=new \
    src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=sshbruteforces connection-state=new \
    src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=sshbruteforces connection-state=new \
    src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=sshbruteforces connection-state=new
add chain=sshbruteforces dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" disabled=\
    no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add chain=sshbruteforces dst-port=22 protocol=tcp connection-state=new
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
    protocol=tcp src-address-list=ssh_blacklist

Ко мне тоже постоянно ломятся, это ботнет. Первое правило разместите над запрещающим input правилом. Остальные - неважно куда, на них будет произведён jump (это снижает нагрузку на процессор). Работает так: если в течение минуты с одного IP производится более 3х попыток входа - данный IP блокируется на 10 дней.
Данная цепочка подходит тем, кто не хочет менять стандартный порт SSH и нуждается в доступе с любого ip-адреса. Так же можно настроить port-knocking, но это немного сложнее, приходится использовать дополнительный софт
UPDATED Немного обновил и оптимизировал цепочку. Суть осталась прежней

Comments

[Никита Сизов]

Круто. А можете объяснить, как это работает?
И почему в последнем правиле форвард, а не инпут?

[Александр Романов]

Никита Сизов: Файервол работает, сравнивая пакеты со всеми правилами по порядку. Правила бывают not passthrough и passthrough. Совпав с первыми, пакет не проходит дальнейшую цепочку, совпав со вторыми - продолжает движение по правилам. Стандартные цепочки (инпут, аутпут и форвард) проверяются всегда. Цепочку с другим именем мы можем использовать, выделив пакет и применив к нему action=jump, указав в качестве jump target имя кастомной цепочки. Внутри этой цепочки сохраняется всё тот же принцип: правила выполняются сверху вниз. Достигнув конца цепочки и не подпав ни под одно not passthrough правило, пакет выплёвывается обратно в основной файервол. Данная последовательность при первом коннекте добавляет ип-адрес, с которого произведена попытка входа на 22й порт в адрес-лист ssh_stage1 с таймаутом 1 мин и выплёвывает пакет на разрешающее input правило. Если в течение этой минуты происходит ещё одна попытка входа с того же ип-адреса, от попадает в лист ssh_stage2 на 1 мин, также вылетая на разрешение, затем ssh_stage3 также на 1 мин с разрешением. Если после этого производится очередная попытка входа, то ип попадает в список ssh_blacklist на 10 дней. Всем адресам из этого списка запрещено подключаться по SSH протоколу (верхнее правило drop). Нижнее forward правило на тот случай, если у вас настроен dst-nat внутрь сетки, и порт мапится на 22. В таком случае это правило блокирует доступ ко внутренним ssh-хостам для ип-адресов из списка ssh_blacklist

[Никита Сизов]

Александр: спасибо!!

[Дмитрий]

Простите, а зачем дополнительный софт для порт кноккинга?
https://litl-admin.ru/zhelezo/mikrotik-port-knocki...

[Александр Романов]

Дмитрий: В вашей статье описан ICMP-knocking. И если с настольного компьютера в таком случае можно (и нужно) использовать командную строку, то попробуйте без доп.софта простучаться с андроида, например.

[Дмитрий]

Александр Романов: Ниже там классический port knocking через веб-браузер.

[Александр Романов]

Дмитрий: А если я хочу кнокинг по tcp/udp?

[Дмитрий]

Александр Романов: Если хотите задействовать UDP, то нужны уже нестандартные утилиты. Для TCP хватит телнета или браузера. Или на худой конец встроенного ftp клиента (для счастливых обладателей Win7+, лишённых телнета). Ну а как послать произвольный UDP-пакет в Windows мне неизвестно.

Answer 2

[Zzzz9]

iШлюз на ubunt-е, беспрерывные попытки угадать login-pass на 22 порт, в другом месте номер порта поменял, тишина.

Answer 3

[Дмитрий]

Переназначение порта тоже может не помочь. Увидят что на этом порту отзывается ssh и продолжат подбирать.
Во-первых стоит избавиться от пользователя admin (разрешить ему вход только из внутренней/доверенной сети). Во-вторых, я бы настроил port-knocking (например как-то так forummikrotik.ru/viewtopic.php?f=13&t=5691 ).

Comments

[Rumickon]

Либо так, без использования regexp: spw.ru/solutions/nastrojka_filtracii_trafika_na_mi...

Answer 4

[Александр]

Порты надо переназначать ...
А то боты замучают.

Comments

[Dmitriy Mozgovoy]

так и делаю, просто режу траф с внешки на службы, удивило как быстро нашли - за пару часов (возможно и быстрее- в логи не влезло) от первого появления роутера онлайн=)

Answer 5

[sim3x]

оно скромное

майнить коины на тебе никто и не собирался, а вот рассылать спам или ддосить в составе нескольких тысяч таких же скромных - вполне

Целенаправленную атаку ты бы не заметил

Answer 6

[solalex]

Это нормально, постоянно на все серваки с белыми адресами боты подбирают пароли.
Самое простое - запретить доступ к ssh со всех хостов, кроме своих.

Comments

[Александр Романов]

Я использую мобильный ссш клиент, например. И его в список разрешённых хостов никак не загонишь. Поэтому использую только приведённую выше схему

Answer 7

[Herbert_Wells]

Есть-ли аналогичный скрипт для telneT port23 ?

Comments

[Никита Сизов]

просто замените в тексте порт 22 на 23. А лучше добавьте через запятую.