Страница 1 из 1
Пытаются взломать?
Добавлено: 15 янв 2019, 08:57
imaoskol
Доброе день коллеги.
Чисто случайно заметил , подключившись через терминал , записи:
jan/15/2019 07:29:16 system,error,critical login failure for user root from 35.196
jan/15/2019 08:10:36 system,error,critical login failure for user root from 35.196
jan/15/2019 08:51:53 system,error,critical login failure for user root from 35.196
jan/15/2019 09:33:16 system,error,critical login failure for user root from 35.196
jan/15/2019 10:14:34 system,error,critical login failure for user root from 35.196
jan/15/2019 10:55:57 system,error,critical login failure for user root from 35.196
jan/15/2019 11:37:16 system,error,critical login failure for user root from 35.196
jan/15/2019 12:18:32 system,error,critical login failure for user root from 35.196
Кто то брутит пароль????? Негодяи... )))
Re: Пытаются взломать?
Добавлено: 15 янв 2019, 10:35
Ca6ko
IP негодяя в черный список и закрыть ему доступ хотя бы на недельку
Re: Пытаются взломать?
Добавлено: 15 янв 2019, 12:14
Vlad-2
imaoskol писал(а): ↑15 янв 2019, 08:57
Доброе день коллеги.
Чисто случайно заметил , подключившись через терминал , записи:
jan/15/2019 07:29:16 system,error,critical login failure for user root from 35.196
jan/15/2019 08:10:36 system,error,critical login failure for user root from 35.196
1) а зачем Вы не всё запостили? Там вроде должно писаться тип протокола/сервиса по которому шли атаки?
2) обычно когда запускаешь терминал, выводятся атаки которые были "давно"
3) в логе микротика при открытом сервисе и при подборе = много "красноты"
4) и так как Вы не всё показали, то отключите лишние порты/сервисы на микротике, особенно
телнет и
ssh
5) Если атак много: пишите правила в
RAW таблице, создавайте динамический адрес-лист (с жизнью записи на сутки),
а уже этот адрес лист используйте в таблице
Filter Rules чуть ли не сразу (вторым-третьим правилом).
(то бишь кто Вас "пощупал" хоть раз, на сутки в бан полностью).
P.S.
примеры пока не даю, но если надо.....
Re: Пытаются взломать?
Добавлено: 15 янв 2019, 14:36
imaoskol
Vlad-2 писал(а): ↑15 янв 2019, 12:14
imaoskol писал(а): ↑15 янв 2019, 08:57
Доброе день коллеги.
Чисто случайно заметил , подключившись через терминал , записи:
jan/15/2019 07:29:16 system,error,critical login failure for user root from 35.196
jan/15/2019 08:10:36 system,error,critical login failure for user root from 35.196
1) а зачем Вы не всё запостили? Там вроде должно писаться тип протокола/сервиса по которому шли атаки?
2) обычно когда запускаешь терминал, выводятся атаки которые были "давно"
3) в логе микротика при открытом сервисе и при подборе = много "красноты"
4) и так как Вы не всё показали, то отключите лишние порты/сервисы на микротике, особенно
телнет и
ssh
5) Если атак много: пишите правила в
RAW таблице, создавайте динамический адрес-лист (с жизнью записи на сутки),
а уже этот адрес лист используйте в таблице
Filter Rules чуть ли не сразу (вторым-третьим правилом).
(то бишь кто Вас "пощупал" хоть раз, на сутки в бан полностью).
P.S.
примеры пока не даю, но если надо.....
Попытка была по api
Api отключил совсем. мне доступ по нему не нужен. А вообще пример если бы Вы дали былоб неплохо... Не за горами думаю попытка подбора и по winbox, хотя конечно снаружи вообще можно всё отрубить кроме портов dst-nat
Re: Пытаются взломать?
Добавлено: 15 янв 2019, 14:55
Vlad-2
imaoskol писал(а): ↑15 янв 2019, 14:36
Api отключил совсем. мне доступ по нему не нужен.
Я вообще все сервисы отключаю, кроме винбокса, и иногда www оставлю.
Естественно их закрываю/прикрываю правилами файрвола.
imaoskol писал(а): ↑15 янв 2019, 14:36
А вообще пример если бы Вы дали былоб неплохо... Не за горами думаю попытка подбора и по winbox, хотя конечно снаружи вообще можно всё отрубить кроме портов dst-nat
Ну правила простые, поэтому сразу не разочаровываться.
1) защищаемся от атак (внизу пример, от флуда по 53 порту, порт можете подставить другой/несколько),
айпи атакующих в адрес-лист. Ну и конечно дропаем потом.
Делаем в таблице RAW - дабы было быстрее, эффективнее и меньше нагружать проц роутера.
Код: Выделить всё
/ip firewall raw
add action=jump chain=prerouting dst-port=53 in-interface-list=list0-WANs-ALL jump-target=DNS-Flood-TCP-RAW protocol=tcp
add action=jump chain=prerouting dst-port=53 in-interface-list=list0-WANs-ALL jump-target=DNS-Flood-UDP-RAW protocol=udp
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=DNS-Flood-TCP-RAW
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=DNS-Flood-UDP-RAW
add action=drop chain=DNS-Flood-TCP-RAW
add action=drop chain=DNS-Flood-UDP-RAW
2) И уже получив список атакующих, а они пробуют и пробую, делаем уже тупой Дроп без анализа:
Код: Выделить всё
/ip firewall filter
add action=drop chain=input comment="Drop from ATTACK-list (over 24 hours)" in-interface-list=list0-WANs-ALL src-address-list=Attack-from-WAN
- это переменная (адрес-лист интерфейс), можете сопоставить с ether1 И/ИЛИ с pppoe (c тем интерфейсом, который у нас внешний).
Re: Пытаются взломать?
Добавлено: 16 янв 2019, 08:51
imaoskol
Vlad-2 писал(а): ↑15 янв 2019, 14:55
imaoskol писал(а): ↑15 янв 2019, 14:36
Api отключил совсем. мне доступ по нему не нужен.
Я вообще все сервисы отключаю, кроме винбокса, и иногда www оставлю.
Естественно их закрываю/прикрываю правилами файрвола.
imaoskol писал(а): ↑15 янв 2019, 14:36
А вообще пример если бы Вы дали былоб неплохо... Не за горами думаю попытка подбора и по winbox, хотя конечно снаружи вообще можно всё отрубить кроме портов dst-nat
Ну правила простые, поэтому сразу не разочаровываться.
1) защищаемся от атак (внизу пример, от флуда по 53 порту, порт можете подставить другой/несколько),
айпи атакующих в адрес-лист. Ну и конечно дропаем потом.
Делаем в таблице RAW - дабы было быстрее, эффективнее и меньше нагружать проц роутера.
Код: Выделить всё
/ip firewall raw
add action=jump chain=prerouting dst-port=53 in-interface-list=list0-WANs-ALL jump-target=DNS-Flood-TCP-RAW protocol=tcp
add action=jump chain=prerouting dst-port=53 in-interface-list=list0-WANs-ALL jump-target=DNS-Flood-UDP-RAW protocol=udp
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=DNS-Flood-TCP-RAW
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=DNS-Flood-UDP-RAW
add action=drop chain=DNS-Flood-TCP-RAW
add action=drop chain=DNS-Flood-UDP-RAW
2) И уже получив список атакующих, а они пробуют и пробую, делаем уже тупой Дроп без анализа:
Код: Выделить всё
/ip firewall filter
add action=drop chain=input comment="Drop from ATTACK-list (over 24 hours)" in-interface-list=list0-WANs-ALL src-address-list=Attack-from-WAN
- это переменная (адрес-лист интерфейс), можете сопоставить с ether1 И/ИЛИ с pppoe (c тем интерфейсом, который у нас внешний).
Отлично. Спасибо!
Пока что зарубил снаружи все сервисы. Есть vpn, подрубаюсь к нему и захожу локально. В терминале пока чисто... Хотя там и не может быть нечисто, всё закрыто)