Проблем с brute force attack

[dabadaba]

Не знам аз ли съм такъв карък, но от известно време ми пълнят лога с brute force attack.

Просто класика!

Преди време дори видях, че един се е закачил с правилната парола и тъкмо е в рутера. Веднага промених паролата и рестартирах, а той продължи да се опитва, но вече без успех.

Рутера е със статичен адрес, а ограничението от доставчика е по мак.

Та само при мен ли е това, защото служебния рутер е настроен почти по същия начен, но получава интернет по пппое и от друг доставчик, а няма такива атаки?

[JohnTRIVOLTA]

Защо не го затвориш този порт и дори останалите, които не ползваш 

[DeFeKt]

Смени си порта на sshd на различен от дефоултския. Това просто са разни  ботове, работата им е да се пробват докато не уцелят като смениш порта, те ще се пробват още известно време и ще спрат, светва им че си губят времето с теб и ще се захванат някой друг.

[master]

Смени си и усер-а и всички портове както ти казаха.

[muonplex]

И при мен се е случваше, но след като смених порта нямам проблеми.

[dabadaba]

Да, ботове са, но едва ли ще им светне, че си губят времето и ще спрат да пробват. Вероятно ще затворя порта, или ще го променя, но защо на другия рутер няма атаки, както си е с дефолтския порт. Дали не зависи от доставчика?

[dizela]

На другия рутер нямаш атаки защото още не са го надушили. Послушай какво ти пишат и няма да имаш такива проблеми. Когато си взех Микротик-а  и при мен постоянно имаше атаки, направо ми пълнеха целия лог. Спрях ненужните услуги,  смених потребителското име най вече и всички атаки престанаха. Или поне ги няма в лог-а.

[111111]

[dabadaba]

Правилата ги имам в микротика, паролата вече е сигурна. При опит за атака и налучкване на парола, хакерите се блокират за 9 дена, но лога все пак ми се пълни...

Днес за проба спрях порт 22 и вече нямам в лога и при блокираните нови "гости"

[Самуил Арсов]

Като кажете пълни ми се лога все едно ви се пълни кофата за боклук ... това му е задачата на лога да показва събития и при определен обем (линии) спира да расте и няма нищо страшно да имате лог.

 

Все пак за да не се "пълни лога" и едновременно да не спираш услугите на рутера особенно подходящ когато ползваш някакви тунели или имаш повече от един WAN вариант е следния:

/ip firewall filter
add chain=input comment=ESTABLISHED connection-state=established
add chain=input comment=RELATED connection-state=related
add chain=input comment=ACCEPT-ROUTER-PING limit=50/5s,2 protocol=icmp
add chain=input comment=ACCEPT-ROUTER-ACCESS-LIST dst-port=53,80,2000,2222,8728 protocol=tcp src-address-list=ACCEPT-ROUTER
add chain=input comment=ACCEPT-ROUTER-ACCESS-LIST dst-port=53,161 protocol=udp src-address-list=ACCEPT-ROUTER
add chain=input comment=ACCEPT-ROUTER-GRE-TUNNELS protocol=gre
add action=drop chain=input comment=DROP-ROUTER

/ip firewall address-list
add address=192.168.88.0/24 comment=HOME-LAN list=ACCEPT-ROUTER
add address=222.222.222.222 comment=OFFICE list=ACCEPT-ROUTER
add address=111.111.111.111 comment=FRIEND list=ACCEPT-ROUTER

Всичко което не е в адрес листата има само пинг до рутера ...

[Momo]

При мен това което 11111 каза свърши перфектна работа дори имаше и още няколко от същия раздел на форума

[Самуил Арсов]

Отговора е как да не ти се пълни лога а не, че другия пример не върши работа ...

[111111]

Отговора е как да не ти се пълни лога а не, че другия пример не върши работа ...

Самуиле то работата е елементарна, много инфо на някои хора и иде като тапа на тесен изход.

Въпреки че съм съгласен с теб, че изказванията по начина на описание, не биха преминали проверка за български език за 6-ти клас.

[muonplex]

Аз сега като се замисля, мисля че имаше и успешни влизания от тези ботове доста отдавна при мен. Сменяйте портовете и това е.

[Mupo neTkoB]

Срамота е като администратори да кажете че тъпи ботове са ви брутфорснали паролите. "admin" 1234 pass nimda и т.н. остави че не сте си защитили рутерите зя брутфорс ами сменете дефаутните пароли поне