DIITHiTech
@DIITHiTech
Fullstack javascript developer

Атака на мой бедный микротик через ssh- это боты или кому то мой бедный роутер понадобился?

Только восстановил интернет на роутере, файрволл и сервисы еще не успел настроить, отложил и спустя 3 часа пошли атаки на него утром и потом вечером, тупым перебором по ssh telnet.
Но мое железо вряд ли кому нужно, оно скромное. Похоже тупой брут по словарю с нескольких ip через прокси швейцарии, ветнама, мексики и т.д. Хотел узнать, у кого роутера микротики, у вас такое часто, т.е это робот сканит тупо всех и ломает найденные девайсы или это целенаправленная атака на мой?=) Систему не сломали, но все же интересно=)
Все обрубал уже...
(https://docs.google.com/document/d/1xwO9e8H2weFO0E...
Вырезка=)
MikroTik RouterOS 6.34.3 (c) 1999-2015       http://www.mikrotik.com/
[admin@RatNet] > log print
07:45:45 system,error,critical login failure for user root from 94.79.5.102 via ssh 
07:45:46 system,error,critical login failure for user http from 94.79.5.102 via ssh 
07:45:47 system,error,critical login failure for user root from 94.79.5.102 via ssh 
07:45:47 system,error,critical login failure for user bin from 94.79.5.102 via ssh 
07:45:48 system,error,critical login failure for user bin from 94.79.5.102 via ssh 
...
07:50:00 ssh,info auth timeout 
10:25:09 system,error,critical login failure for user root from 122.3.93.35 via telnet 
10:25:57 system,error,critical login failure for user root from 122.3.93.35 via telnet 
20:22:20 system,error,critical login failure for user ADMIN from 58.56.93.171 via ssh 
20:56:30 system,error,critical login failure for user bruno from 179.43.141.197 via ssh 
..
22:50:36 system,error,critical login failure for user admin from 223.115.44.254 via telnet 
...
22:52:28 system,error,critical login failure for user backup from 179.43.144.14 via ssh 
22:56:19 system,error,critical login failure for user admin from 182.122.106.17 via telnet
  • Вопрос задан
  • 28920 просмотров
Решения вопроса 1
@moneron89
Сертифицированный тренер Mikrotik
Я могу посоветовать использовать следующую цепочку в файерволе:
/ip firewall filter

add action=jump chain=input comment="sshbruteforces chain" connection-state=\
    new dst-port=22 jump-target=sshbruteforces protocol=tcp
add action=drop chain=sshbruteforces comment="drop ssh brute forcers" \
    src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=sshbruteforces connection-state=new \
    src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=sshbruteforces connection-state=new \
    src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=sshbruteforces connection-state=new \
    src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=sshbruteforces connection-state=new
add chain=sshbruteforces dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" disabled=\
    no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add chain=sshbruteforces dst-port=22 protocol=tcp connection-state=new
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
    protocol=tcp src-address-list=ssh_blacklist

Ко мне тоже постоянно ломятся, это ботнет. Первое правило разместите над запрещающим input правилом. Остальные - неважно куда, на них будет произведён jump (это снижает нагрузку на процессор). Работает так: если в течение минуты с одного IP производится более 3х попыток входа - данный IP блокируется на 10 дней.
Данная цепочка подходит тем, кто не хочет менять стандартный порт SSH и нуждается в доступе с любого ip-адреса. Так же можно настроить port-knocking, но это немного сложнее, приходится использовать дополнительный софт
UPDATED Немного обновил и оптимизировал цепочку. Суть осталась прежней
Ответ написан
Пригласить эксперта
Ответы на вопрос 6
@Zzzz9
iШлюз на ubunt-е, беспрерывные попытки угадать login-pass на 22 порт, в другом месте номер порта поменял, тишина.
Ответ написан
Комментировать
plin2s
@plin2s
IT, инженер
Переназначение порта тоже может не помочь. Увидят что на этом порту отзывается ssh и продолжат подбирать.
Во-первых стоит избавиться от пользователя admin (разрешить ему вход только из внутренней/доверенной сети). Во-вторых, я бы настроил port-knocking (например как-то так forummikrotik.ru/viewtopic.php?f=13&t=5691 ).
Ответ написан
NeiroNx
@NeiroNx
Программист
Порты надо переназначать ...
А то боты замучают.
Ответ написан
sim3x
@sim3x
оно скромное
майнить коины на тебе никто и не собирался, а вот рассылать спам или ддосить в составе нескольких тысяч таких же скромных - вполне

Целенаправленную атаку ты бы не заметил
Ответ написан
Комментировать
@solalex
Это нормально, постоянно на все серваки с белыми адресами боты подбирают пароли.
Самое простое - запретить доступ к ssh со всех хостов, кроме своих.
Ответ написан
@Herbert_Wells
Есть-ли аналогичный скрипт для telneT port23 ?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы