Доброе день коллеги.
Чисто случайно заметил , подключившись через терминал , записи:
jan/15/2019 07:29:16 system,error,critical login failure for user root from 35.196
jan/15/2019 08:10:36 system,error,critical login failure for user root from 35.196
jan/15/2019 08:51:53 system,error,critical login failure for user root from 35.196
jan/15/2019 09:33:16 system,error,critical login failure for user root from 35.196
jan/15/2019 10:14:34 system,error,critical login failure for user root from 35.196
jan/15/2019 10:55:57 system,error,critical login failure for user root from 35.196
jan/15/2019 11:37:16 system,error,critical login failure for user root from 35.196
jan/15/2019 12:18:32 system,error,critical login failure for user root from 35.196
Кто то брутит пароль????? Негодяи... )))
Пытаются взломать?
-
- Сообщения: 1485
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
IP негодяя в черный список и закрыть ему доступ хотя бы на недельку
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) а зачем Вы не всё запостили? Там вроде должно писаться тип протокола/сервиса по которому шли атаки?
2) обычно когда запускаешь терминал, выводятся атаки которые были "давно"
3) в логе микротика при открытом сервисе и при подборе = много "красноты"
4) и так как Вы не всё показали, то отключите лишние порты/сервисы на микротике, особенно телнет и ssh
5) Если атак много: пишите правила в RAW таблице, создавайте динамический адрес-лист (с жизнью записи на сутки),
а уже этот адрес лист используйте в таблице Filter Rules чуть ли не сразу (вторым-третьим правилом).
(то бишь кто Вас "пощупал" хоть раз, на сутки в бан полностью).
P.S.
примеры пока не даю, но если надо.....
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Попытка была по apiVlad-2 писал(а): ↑15 янв 2019, 12:141) а зачем Вы не всё запостили? Там вроде должно писаться тип протокола/сервиса по которому шли атаки?
2) обычно когда запускаешь терминал, выводятся атаки которые были "давно"
3) в логе микротика при открытом сервисе и при подборе = много "красноты"
4) и так как Вы не всё показали, то отключите лишние порты/сервисы на микротике, особенно телнет и ssh
5) Если атак много: пишите правила в RAW таблице, создавайте динамический адрес-лист (с жизнью записи на сутки),
а уже этот адрес лист используйте в таблице Filter Rules чуть ли не сразу (вторым-третьим правилом).
(то бишь кто Вас "пощупал" хоть раз, на сутки в бан полностью).
P.S.
примеры пока не даю, но если надо.....
Api отключил совсем. мне доступ по нему не нужен. А вообще пример если бы Вы дали былоб неплохо... Не за горами думаю попытка подбора и по winbox, хотя конечно снаружи вообще можно всё отрубить кроме портов dst-nat
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Я вообще все сервисы отключаю, кроме винбокса, и иногда www оставлю.
Естественно их закрываю/прикрываю правилами файрвола.
Ну правила простые, поэтому сразу не разочаровываться.
1) защищаемся от атак (внизу пример, от флуда по 53 порту, порт можете подставить другой/несколько),
айпи атакующих в адрес-лист. Ну и конечно дропаем потом.
Делаем в таблице RAW - дабы было быстрее, эффективнее и меньше нагружать проц роутера.
Код: Выделить всё
/ip firewall raw
add action=jump chain=prerouting dst-port=53 in-interface-list=list0-WANs-ALL jump-target=DNS-Flood-TCP-RAW protocol=tcp
add action=jump chain=prerouting dst-port=53 in-interface-list=list0-WANs-ALL jump-target=DNS-Flood-UDP-RAW protocol=udp
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=DNS-Flood-TCP-RAW
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=DNS-Flood-UDP-RAW
add action=drop chain=DNS-Flood-TCP-RAW
add action=drop chain=DNS-Flood-UDP-RAW
Код: Выделить всё
/ip firewall filter
add action=drop chain=input comment="Drop from ATTACK-list (over 24 hours)" in-interface-list=list0-WANs-ALL src-address-list=Attack-from-WAN
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Отлично. Спасибо!Vlad-2 писал(а): ↑15 янв 2019, 14:55Я вообще все сервисы отключаю, кроме винбокса, и иногда www оставлю.
Естественно их закрываю/прикрываю правилами файрвола.
Ну правила простые, поэтому сразу не разочаровываться.
1) защищаемся от атак (внизу пример, от флуда по 53 порту, порт можете подставить другой/несколько),
айпи атакующих в адрес-лист. Ну и конечно дропаем потом.
Делаем в таблице RAW - дабы было быстрее, эффективнее и меньше нагружать проц роутера.2) И уже получив список атакующих, а они пробуют и пробую, делаем уже тупой Дроп без анализа:Код: Выделить всё
/ip firewall raw add action=jump chain=prerouting dst-port=53 in-interface-list=list0-WANs-ALL jump-target=DNS-Flood-TCP-RAW protocol=tcp add action=jump chain=prerouting dst-port=53 in-interface-list=list0-WANs-ALL jump-target=DNS-Flood-UDP-RAW protocol=udp add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=DNS-Flood-TCP-RAW add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=DNS-Flood-UDP-RAW add action=drop chain=DNS-Flood-TCP-RAW add action=drop chain=DNS-Flood-UDP-RAW
list0-WANs-ALL - это переменная (адрес-лист интерфейс), можете сопоставить с ether1 И/ИЛИ с pppoe (c тем интерфейсом, который у нас внешний).Код: Выделить всё
/ip firewall filter add action=drop chain=input comment="Drop from ATTACK-list (over 24 hours)" in-interface-list=list0-WANs-ALL src-address-list=Attack-from-WAN
Пока что зарубил снаружи все сервисы. Есть vpn, подрубаюсь к нему и захожу локально. В терминале пока чисто... Хотя там и не может быть нечисто, всё закрыто)