Что делать когда тебя пытаются брутфорсить?

Question

[IrkDesigner]

Сегодня смотрел журнал событий системы:


Тип события: Предупреждение

Источник события: RemoteAccess

Категория события: Отсутствует

Код события: 20189

Дата: 25.03.2013

Время: 4:20:09

Пользователь: Н/Д

Компьютер: %ProxyName%

Описание:

Пользователь "%SomethingUserName%", подключен с %IPAdress%, но не прошел проверку подлинности, поскольку Проверка подлинности не завершена успешно, поскольку пароль пользователя был указан неверно.


Дополнительные сведения можно найти в центре справки и поддержки, в «go.microsoft.com/fwlink/events.asp».


Событие происходило раз в секунду, каждый раз менялось имя пользователя.

IP адрес подключающегося был статичен, судя по Whois из США. Ну мы то с вами знаем, что любой человек может пользоваться американским IP, тут много знаний не нужно…


А теперь собственно вопрос: как реагировать на подобную ситуацию? Что делать? Что противопоставлять и т.п.

Answer 1

[Сергей Харченко]

Не хочу показаться капитаном очевидность, но нужно как минимум в файервол добавить правило которое блокирует доступ с IP с которого лез брут

Answer 2

[cjey]

бот долбится. проверить на провал попытки и игнорировать.

Answer 3

[Sergei Borisov]

на *nix есть fail2ban. Не уверен, но мне думается, что можно найти что-то подобное для Windows. Во всяком случае, принцип, должен быть примерно такой: 1) ошибка аутентификации 2) увеличиваем тайм-аут 3) если ошибка с того же ip повторяется, например, 3 раза, то блокируем ip, хотя бы на сутки. Главное при такой схеме — самому ошибаться не более 2-х раз подряд :))

Answer 4

[Артём Цыплаков]

Сменить порт на котором висит удаленка

Answer 5

[Игорь]

Согласен с предыдущем комментарием. Классикой считается блокировать IP после определённого числа неудачных попыток аутентификации. Также стоит настроить тайм-аут приёма аутентификации, когда после ввода пароля система, например, 3 секунды стоит в паузе и потом только выводит вердикт. В конфигах многих сервисов имеется такая настройка.

Также можно порекомендовать «повесить» сервер на нестандартный порт, ограничить доступ к серверу по IP адресам (если известно с каких адресов ожидать подключения легитимных пользователей). Ну и на закуску — Port knocking

Answer 6

[afiskon]

Забанить по IP, сменить порт, внести прочие ограничения (номер порта с которого устанавливается соединение, если бы брутфорсили по HTTP, можно было бы проверять UserAgent и тп).

Answer 7

[sarbash]

блокировать IP не совсем правильно, т.к. на одном IP могут быть тысчячи других пользователей за NAT, кроме того могут брутфорсить боты или зараженные ПК с разных IP.
Задержки да, еще возможна автоблокирока учеток на которые пытаются логинится после N числа неудачных входво, ну и про самое надежное и простое средство тут забыли - сложные пароли.

Answer 8

[TapakaLLIko]

gpedit.msc - Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Службы удаленных рабочих столов - Узел сеансов удаленных рабочих столов - Безопастность:
пункт Всегда запрашивать пароль при подключении - Включен

Там же можно прочитать помощь по пункту. (Действительно для W2K8, как для более ранних незнаю, нет в наличии)

Answer 9

[MrGroovy]

Вас пытаются взломать по средствам брут форс атаки.

Событие происходило раз в секунду, каждый раз менялось имя пользователя.

IP адрес подключающегося был статичен

Судя по вашему описанию, злоумышленник не сильно опытен, так как такой перебор паролей, без знания имени пользователя, займет очень большое время.
В таком случае блокировка по IP будет достаточной. Например, при использовании iptables:

iptables -I INPUT -s 192.0.2.0 -j DROP

Для защиты от брута можно еще изменить порт SSH на нестандартный и использовать утилиты или настройки брандмауэра для блокировки сканеров (на подобии NMAP) или вместо пароля использовать доступ по ключу. И раз уж мы боремся с брут форс атакой, можно проверить возможность подбора пароля, например воспользоваться Hydra и заодно проверить наличие уязвимостей связанных с работой прикладных протоколов, по базе Common Vulnerabilities and Exposures.
Из онлайн вариантов попробуй METASCAN, это специальные ресурс, который может проверить большинство уязвимостей и покажут можно ли подобрать пароль к базам данных, логинам или SSH протоколам.