Что делать когда тебя пытаются брутфорсить?

Сегодня смотрел журнал событий системы:


Тип события: Предупреждение

Источник события: RemoteAccess

Категория события: Отсутствует

Код события: 20189

Дата: 25.03.2013

Время: 4:20:09

Пользователь: Н/Д

Компьютер: %ProxyName%

Описание:

Пользователь "%SomethingUserName%", подключен с %IPAdress%, но не прошел проверку подлинности, поскольку Проверка подлинности не завершена успешно, поскольку пароль пользователя был указан неверно.


Дополнительные сведения можно найти в центре справки и поддержки, в «go.microsoft.com/fwlink/events.asp».


Событие происходило раз в секунду, каждый раз менялось имя пользователя.

IP адрес подключающегося был статичен, судя по Whois из США. Ну мы то с вами знаем, что любой человек может пользоваться американским IP, тут много знаний не нужно…


А теперь собственно вопрос: как реагировать на подобную ситуацию? Что делать? Что противопоставлять и т.п.
  • Вопрос задан
  • 7067 просмотров
Пригласить эксперта
Ответы на вопрос 9
@lenferer
.Net/Rails developer
Не хочу показаться капитаном очевидность, но нужно как минимум в файервол добавить правило которое блокирует доступ с IP с которого лез брут
Ответ написан
Комментировать
cjey
@cjey
бот долбится. проверить на провал попытки и игнорировать.
Ответ написан
Комментировать
risik
@risik
Программист
на *nix есть fail2ban. Не уверен, но мне думается, что можно найти что-то подобное для Windows. Во всяком случае, принцип, должен быть примерно такой: 1) ошибка аутентификации 2) увеличиваем тайм-аут 3) если ошибка с того же ip повторяется, например, 3 раза, то блокируем ip, хотя бы на сутки. Главное при такой схеме — самому ошибаться не более 2-х раз подряд :))
Ответ написан
Комментировать
grimich
@grimich
Не забудьте отметить лучший ответ как решение
Сменить порт на котором висит удаленка
Ответ написан
Комментировать
shanker
@shanker
Согласен с предыдущем комментарием. Классикой считается блокировать IP после определённого числа неудачных попыток аутентификации. Также стоит настроить тайм-аут приёма аутентификации, когда после ввода пароля система, например, 3 секунды стоит в паузе и потом только выводит вердикт. В конфигах многих сервисов имеется такая настройка.

Также можно порекомендовать «повесить» сервер на нестандартный порт, ограничить доступ к серверу по IP адресам (если известно с каких адресов ожидать подключения легитимных пользователей). Ну и на закуску — Port knocking
Ответ написан
Комментировать
afiskon
@afiskon
Забанить по IP, сменить порт, внести прочие ограничения (номер порта с которого устанавливается соединение, если бы брутфорсили по HTTP, можно было бы проверять UserAgent и тп).
Ответ написан
Комментировать
sarbash
@sarbash
блокировать IP не совсем правильно, т.к. на одном IP могут быть тысчячи других пользователей за NAT, кроме того могут брутфорсить боты или зараженные ПК с разных IP.
Задержки да, еще возможна автоблокирока учеток на которые пытаются логинится после N числа неудачных входво, ну и про самое надежное и простое средство тут забыли - сложные пароли.
Ответ написан
Комментировать
@TapakaLLIko
gpedit.msc - Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Службы удаленных рабочих столов - Узел сеансов удаленных рабочих столов - Безопастность:
пункт Всегда запрашивать пароль при подключении - Включен

Там же можно прочитать помощь по пункту. (Действительно для W2K8, как для более ранних незнаю, нет в наличии)
Ответ написан
Комментировать
@MrGroovy
Вас пытаются взломать по средствам брут форс атаки.

Событие происходило раз в секунду, каждый раз менялось имя пользователя.

IP адрес подключающегося был статичен

Судя по вашему описанию, злоумышленник не сильно опытен, так как такой перебор паролей, без знания имени пользователя, займет очень большое время.
В таком случае блокировка по IP будет достаточной. Например, при использовании iptables:

iptables -I INPUT -s 192.0.2.0 -j DROP

Для защиты от брута можно еще изменить порт SSH на нестандартный и использовать утилиты или настройки брандмауэра для блокировки сканеров (на подобии NMAP) или вместо пароля использовать доступ по ключу. И раз уж мы боремся с брут форс атакой, можно проверить возможность подбора пароля, например воспользоваться Hydra и заодно проверить наличие уязвимостей связанных с работой прикладных протоколов, по базе Common Vulnerabilities and Exposures.
Из онлайн вариантов попробуй METASCAN, это специальные ресурс, который может проверить большинство уязвимостей и покажут можно ли подобрать пароль к базам данных, логинам или SSH протоколам.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы