--}}
Новая тема
Вы не можете создавать новые темы.
Т.к. вы неавторизованы на сайте. Пожалуйста назовите себя или зарегистрируйтесь.
Список тем

От чего так неистово стали брутить РРТР на микротиках ?

Сисадминское
323
21
С друзьями на NN.RU
В социальных сетях
Поделиться
acella
16.08.2019
Ещё пару месяцев назад было относительно тихо в логах.
А сейчас просто шквал, пришлось писать скрипт типа fail2ban
И в логах постоянная долбёжка с забаненых ip
Из 7 девайсов с белыми ip только на одном тишина, на остальных тоже самое.
Долбят и 1723 порт и 443 ( там Ovpn поднят ) до кучи.

Тема пятничная, а пагаварить :-D
Порты поменяй да и все :-D
acella
16.08.2019
Мне интересна причина этого явления, а не как защититься.
ломают-с
7aladin
16.08.2019
А как они узнают, что ты им выставил микротик?
acella
16.08.2019
Им наверняка пох чего там за железка, был бы сервис.
А на другом железе таких сервисов у меня нет.
Раньше я не замечал, что бы брутили именно РРТР, SMTP да, всегда долбили, а вот что бы VPN
Причём словарь какой то странный, мелькали логины admin, user, administrator и test
7aladin
17.08.2019
Логи где-то централизовано собираешь или смотришь от случая к случаю?.
Скрипт выложи, интересно. Надо тоже запилить.
acella
18.08.2019
7aladin писал(а)
Логи где-то централизовано собираешь или смотришь от случая к случаю?.

Эпизодически, железок много, все мониторить гиморно, да и не нужно.
Скрипт:
В фаэре /ip firewall filter
3 правила, которые видя в логах коннект на порт 1723 ( ну или ещё какой ) добавляют долбящегося в ексеслист, на оду минутку.
Если в течении минуты коннект с ip из первого листа повторяется, то его добавляют во второй эксеслист.
Ну а если в течении минуты ещё раз он долбится, то в третий ( последнее китайское предупреждение )
Ну а на четвёртый его заносят в эксеслист на неделю, на основе которого есть блокирующее правило в фаэре.

add action=drop chain=input comment="drop pptp brute forcers" dst-port=1723 log=yes protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist address-list-timeout=1w3d chain=input comment=Broot_pptp_ban connection-state=new dst-port=1723 protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 address-list-timeout=1m chain=input comment=Broot_pptp_stage3 connection-state=new dst-port=1723 protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 address-list-timeout=1m chain=input comment=Broot_pptp_stage2 connection-state=new dst-port=1723 protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 address-list-timeout=1m chain=input comment=Broot_pptp_stage1 connection-state=new dst-port=1723 protocol=tcp
получили распространение - начали долбиться
Free Cat
16.08.2019
да поди очередные скрипт-киддисы узнали "что так можно" :-D
7aladin
17.08.2019
На днях новость читал, как пакистанец за "300" баксов разместил несколько вифи точек в AT&T и 10лет имел компанию как хотел. В частности, айфоны разблокировпл от оператора. Красавец.
Free Cat
17.08.2019
хорошо устроился :) .
Брутят всё подряд, что торчит наружу, находят тупо сканом сетей.
7aladin
17.08.2019
Интересно им подсунуть изолированную "инфраструктуру" и посмотреть дальнейшие действия и время реакции на "бинго".
А что, хорошая мысль. Ресурсы у меня есть, но вот самому заниматься этим лениво, если честно.

А так да - сделать "шлюз" с логином admin и паролем из шести единиц, за "шлюзом" разместить сетку на полсотни "хостов" (по факту 90 процентов jail и пара реальных виртуалок) - и чисто понаблюдать, куда и как ломиться будут.
acella
18.08.2019
Афраний писал(а)
куда и как ломиться будут.

99% будут юзать как гейт для спама, vpn и тора
997
17.08.2019
У меня на vds долбились к ovpn - тоже смысла не понял, но дабы не анноили, утащил на нестандартный порт.
Только вот какая мысль посетила: с ростом широких каналов скоро уже весь диапазон портов начнут сканить, и тогда уже нестандартными портами не спасёшься.
7aladin
17.08.2019
fail2ban, snort и банить уже на этапе скана. Нельзя доводить до перебора. Это наглость уже.
Ещё явно указать области. От магического пакета не спасет, но хоть хохлы отстанут.
Borskiy2
18.08.2019
7aladin писал(а)
явно указать области

Так и сделал. Тоже долбились несколько месяцев кряду, с разных айпишников (но все, по мнению 2ip - пиндосские, видимо хотят отомстить за выборы Трампа :D). Задропал в ФВ диапазоны, и сейчас тишина.
acella
18.08.2019
7aladin писал(а)
Ещё явно указать области.

Делал список сетей мегафона - заебался
Их много , гуглить bgp анонсы, вроде верный путь, но их всё равно много.
Проще фильтровать
acella
18.08.2019
Мне пришлось Ovpn повесить на 443 порт ибо за бугром, через вайфай местных гостиниц обычный рртр или l2tp via ipsec нихрена не пашет.
Тепер регулярно в логах p_control_hard_reset_server
Зачем хз
Новая тема
Вы не можете создавать новые темы.
Т.к. вы неавторизованы на сайте. Пожалуйста назовите себя или зарегистрируйтесь.
Список тем
Последние темы форумов
Материнские платы на запчасти и не только

Материнские платы на запчасти и не только Материнские платы и другие комплектующие Отправка в регионы после оплаты. Транспортной...
Цена: 3 000 руб.

Продаю факс (ы) Panasonic– FT932/982

Продаю факс (ы) Panasonic– FT932/982: термоперенос, термобумага, А4
Цена: 350 руб.

Дорого куплю новые картриджи от лазерных и струйных

РЕАЛЬНО Дорого куплю новые картриджи от лазерных и струйных принтеров и копиров (НР, Canon, Samsung, Xerox, OCE и др.) всех моделей....
Цена: 7 777 руб.

Принтер лазерный Avision AP30A

Avision AP30A лазерный принтер черно-белая печать формат A4, 33 стр/мин, 128 Мб, дуплекс, лоток 250 листов и многоцелевой лоток с...
Цена: 9 900 руб.