Опит за хакване

[lubitel]

Здравейте, от няколко дни някой се опитва да ми хакне микротика. Но вместо IP ми дава в лога mar/05 06:57:56 system,error,critical login failure for user \A9{\08Qe\068\A6y\F1\D0\F5\C6@q:\81\t\AF\F6MYI\85\BA\84\10\BB\DD?\86\03 via winbox. Как мога да разбера от кое IP идва това и как мога да го забраня? Благодаря предварително.

[Mupo neTkoB]

смени порта на уинбокс от /ип сървисис и си свиркай

[master]

За ssh и при сменен порт няма оправия.

[stanstanyov]

Направи му капан във файъруола и си го логни.

[dabadaba]

Преди 10 часа, stanstanyov написа:

Направи му капан във файъруола и си го логни.

Как се прави и за какво му е?

За това няма оправия. Ако те гони параноята, просто смени името на акаунта, сложи по-дълга парола и вкарай поне една буква на кирилица. Няма да е неразбиваема, но ще стане доста добре защитена за такива хаквания. Разбира се, ако фбр искат да ти хакнат рутера и китайски йероглифи да сложиш, пак ще успеят, щото имат ресурси за това, за разлика от тия хакерчета, които го правят за спорта

[stanstanyov]

Ами, дроп правило на порта на winbox за външния интерфейс и лог.

Странното е, че по принцип се вижда IP-то в лога и за login failure. Не се вижда когато се влиза по МАС, но пак се разбира. Прилича на някакъв бот това...

[master]

Не ти ли показва усер-а.

[petroff]

Aко ти е дълга и сложна паролата да не ти пука.

И аз имам по няколко страници логове от ботове да опитват.

Според мен някой от вътре се опитва.

[111111]

Това е PHP енкодирано име явно някой е чел за API

[Кирил Вълчев]

На 7.03.2016 г. at 18:44, lubitel написа:

Здравейте, от няколко дни някой се опитва да ми хакне микротика. Но вместо IP ми дава в лога mar/05 06:57:56 system,error,critical login failure for user \A9{\08Qe\068\A6y\F1\D0\F5\C6@q:\81\t\AF\F6MYI\85\BA\84\10\BB\DD?\86\03 via winbox. Как мога да разбера от кое IP идва това и как мога да го забраня? Благодаря предварително.

Изгради firewall със строги правила, като допускаш само това което ползваш.
Пример:
 

/ip firewall filter
;;;всичко което идва от интернет отива във верига input_ext
add chain=input action=jump jump-target=input_ext in-interface=public
;;;всичко което идва от частната мрежа отива във верига input_int
add chain=input action=jump jump-target=input_int in-interface=private
;;;всичко което не е определено се дропва
add chain=input action=drop
;;; всичко от частната мрежа е разрешено
add chain=input_int action=accept
;;; всичко от интернет което е broadcast,multicast се забранява
add chain=input_ext action=drop dst-address-type=broadcast,multicast
;;; ако ползваме PPPT VPN
add chain=input_ext action=accept protocol=tcp dst-port=1723
;;; всичко останало се забранява
add chain=input_ext action=drop
;;; всичко което ще препращаме от интернет се насочва във верига forward_ext
add chain=forward action=jump jump-target=forward_ext in-interface=public
;;; всичко което ще препращаме от частната мрежа се насочва във верига forward_int
add chain=forward action=jump jump-target=forward_int in-interface=private
;;; всичко останало което се препраща се забранява
add chain=forward action=drop
;;; всички съществуващи отворени връзки от частната мрежа са разрешени
add chain=forward_ext action=accept connection-state=established dst-address=PRIVATE
add chain=forward_ext action=accept connection-state=related dst-address=PRIVATE
;;; всички останало препратено от интернет се забранява
add chain=forward_ext action=drop

Забрани MikroTik Neighbor Discovery protocol за публичния интерфейс
 

/ip neighbor discovery set public discover=no

П.С
public е наименованието на интерфейса който гледа към интернет
private e наименованието на интерфейса който гледа към частната мрежа
PRIVATE е мрежовия сигмен на частната ти мрежа

[111111]

преди 34 минути, Кирил Вълчев написа:

add chain=forward_ext action=accept connection-state=established dst-address=PRIVATE

add chain=forward_ext action=accept connection-state=related dst-address=PRIVATE

Това трябва да е едно правило

add chain=forward_ext action=accept connection-state=established,related dst-address=PRIVATE