Пытаются взломать?

Обсуждение оборудования и его настройки
Ответить
imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Доброе день коллеги.
Чисто случайно заметил , подключившись через терминал , записи:
jan/15/2019 07:29:16 system,error,critical login failure for user root from 35.196
jan/15/2019 08:10:36 system,error,critical login failure for user root from 35.196
jan/15/2019 08:51:53 system,error,critical login failure for user root from 35.196
jan/15/2019 09:33:16 system,error,critical login failure for user root from 35.196
jan/15/2019 10:14:34 system,error,critical login failure for user root from 35.196
jan/15/2019 10:55:57 system,error,critical login failure for user root from 35.196
jan/15/2019 11:37:16 system,error,critical login failure for user root from 35.196
jan/15/2019 12:18:32 system,error,critical login failure for user root from 35.196


Кто то брутит пароль????? Негодяи... )))


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

IP негодяя в черный список и закрыть ему доступ хотя бы на недельку


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

imaoskol писал(а): 15 янв 2019, 08:57 Доброе день коллеги.
Чисто случайно заметил , подключившись через терминал , записи:
jan/15/2019 07:29:16 system,error,critical login failure for user root from 35.196
jan/15/2019 08:10:36 system,error,critical login failure for user root from 35.196
1) а зачем Вы не всё запостили? Там вроде должно писаться тип протокола/сервиса по которому шли атаки? :-)
2) обычно когда запускаешь терминал, выводятся атаки которые были "давно"
3) в логе микротика при открытом сервисе и при подборе = много "красноты"
4) и так как Вы не всё показали, то отключите лишние порты/сервисы на микротике, особенно телнет и ssh
5) Если атак много: пишите правила в RAW таблице, создавайте динамический адрес-лист (с жизнью записи на сутки),
а уже этот адрес лист используйте в таблице Filter Rules чуть ли не сразу (вторым-третьим правилом).
(то бишь кто Вас "пощупал" хоть раз, на сутки в бан полностью).

P.S.
примеры пока не даю, но если надо.....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Vlad-2 писал(а): 15 янв 2019, 12:14
imaoskol писал(а): 15 янв 2019, 08:57 Доброе день коллеги.
Чисто случайно заметил , подключившись через терминал , записи:
jan/15/2019 07:29:16 system,error,critical login failure for user root from 35.196
jan/15/2019 08:10:36 system,error,critical login failure for user root from 35.196
1) а зачем Вы не всё запостили? Там вроде должно писаться тип протокола/сервиса по которому шли атаки? :-)
2) обычно когда запускаешь терминал, выводятся атаки которые были "давно"
3) в логе микротика при открытом сервисе и при подборе = много "красноты"
4) и так как Вы не всё показали, то отключите лишние порты/сервисы на микротике, особенно телнет и ssh
5) Если атак много: пишите правила в RAW таблице, создавайте динамический адрес-лист (с жизнью записи на сутки),
а уже этот адрес лист используйте в таблице Filter Rules чуть ли не сразу (вторым-третьим правилом).
(то бишь кто Вас "пощупал" хоть раз, на сутки в бан полностью).

P.S.
примеры пока не даю, но если надо.....
Попытка была по api
Api отключил совсем. мне доступ по нему не нужен. А вообще пример если бы Вы дали былоб неплохо... Не за горами думаю попытка подбора и по winbox, хотя конечно снаружи вообще можно всё отрубить кроме портов dst-nat


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

imaoskol писал(а): 15 янв 2019, 14:36 Api отключил совсем. мне доступ по нему не нужен.
Я вообще все сервисы отключаю, кроме винбокса, и иногда www оставлю.
Естественно их закрываю/прикрываю правилами файрвола.
imaoskol писал(а): 15 янв 2019, 14:36 А вообще пример если бы Вы дали былоб неплохо... Не за горами думаю попытка подбора и по winbox, хотя конечно снаружи вообще можно всё отрубить кроме портов dst-nat
Ну правила простые, поэтому сразу не разочаровываться.
1) защищаемся от атак (внизу пример, от флуда по 53 порту, порт можете подставить другой/несколько),
айпи атакующих в адрес-лист. Ну и конечно дропаем потом.
Делаем в таблице RAW - дабы было быстрее, эффективнее и меньше нагружать проц роутера.

Код: Выделить всё

/ip firewall raw
add action=jump chain=prerouting dst-port=53 in-interface-list=list0-WANs-ALL jump-target=DNS-Flood-TCP-RAW protocol=tcp
add action=jump chain=prerouting dst-port=53 in-interface-list=list0-WANs-ALL jump-target=DNS-Flood-UDP-RAW protocol=udp
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=DNS-Flood-TCP-RAW
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=DNS-Flood-UDP-RAW
add action=drop chain=DNS-Flood-TCP-RAW
add action=drop chain=DNS-Flood-UDP-RAW
2) И уже получив список атакующих, а они пробуют и пробую, делаем уже тупой Дроп без анализа:

Код: Выделить всё

/ip firewall filter
add action=drop chain=input comment="Drop from ATTACK-list (over 24 hours)" in-interface-list=list0-WANs-ALL src-address-list=Attack-from-WAN
list0-WANs-ALL - это переменная (адрес-лист интерфейс), можете сопоставить с ether1 И/ИЛИ с pppoe (c тем интерфейсом, который у нас внешний).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Vlad-2 писал(а): 15 янв 2019, 14:55
imaoskol писал(а): 15 янв 2019, 14:36 Api отключил совсем. мне доступ по нему не нужен.
Я вообще все сервисы отключаю, кроме винбокса, и иногда www оставлю.
Естественно их закрываю/прикрываю правилами файрвола.
imaoskol писал(а): 15 янв 2019, 14:36 А вообще пример если бы Вы дали былоб неплохо... Не за горами думаю попытка подбора и по winbox, хотя конечно снаружи вообще можно всё отрубить кроме портов dst-nat
Ну правила простые, поэтому сразу не разочаровываться.
1) защищаемся от атак (внизу пример, от флуда по 53 порту, порт можете подставить другой/несколько),
айпи атакующих в адрес-лист. Ну и конечно дропаем потом.
Делаем в таблице RAW - дабы было быстрее, эффективнее и меньше нагружать проц роутера.

Код: Выделить всё

/ip firewall raw
add action=jump chain=prerouting dst-port=53 in-interface-list=list0-WANs-ALL jump-target=DNS-Flood-TCP-RAW protocol=tcp
add action=jump chain=prerouting dst-port=53 in-interface-list=list0-WANs-ALL jump-target=DNS-Flood-UDP-RAW protocol=udp
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=DNS-Flood-TCP-RAW
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=DNS-Flood-UDP-RAW
add action=drop chain=DNS-Flood-TCP-RAW
add action=drop chain=DNS-Flood-UDP-RAW
2) И уже получив список атакующих, а они пробуют и пробую, делаем уже тупой Дроп без анализа:

Код: Выделить всё

/ip firewall filter
add action=drop chain=input comment="Drop from ATTACK-list (over 24 hours)" in-interface-list=list0-WANs-ALL src-address-list=Attack-from-WAN
list0-WANs-ALL - это переменная (адрес-лист интерфейс), можете сопоставить с ether1 И/ИЛИ с pppoe (c тем интерфейсом, который у нас внешний).
Отлично. Спасибо!
Пока что зарубил снаружи все сервисы. Есть vpn, подрубаюсь к нему и захожу локально. В терминале пока чисто... Хотя там и не может быть нечисто, всё закрыто)


Ответить