Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 62
Так же из личного опыта: после указания адреса в скайпе — по нему проходится поисковик бинг. Так что не удивительно что ваш сервер так быстро обнаружили, даже если раньше на этом адресе никого не было.
Скорее всего и в этом есть своя доля, но первое упоминание в скайпе было десятого января.
По-моему было на хабре статья про то как по брошенной ссылке на ftp ресурс в скайпе тут же кто-то начинает ломиться и пытаться перебрать «стандартные» пароли.
Плюс были новости про дружбу Microsoft и NSA…
https://habrahabr.ru/post/184014/
Плюс были новости про дружбу Microsoft и NSA…
https://habrahabr.ru/post/184014/
к моему серверу подбирали пароль. хотя он вообще нигде не фигурирует. лечил сменой всех портов на нестандартные значения и огромными таймаутами при неправильном пароле.
Такая же фигня была. На только что настроенном небольшом сервачке, через минут 20 уже начались ломиться подбирать пароль для ssh и чудовищно росли логи. Причем все IP были из китая. Хз может через китайские VPN/Proxy подключались, но после того как забанил в iptables и сменил 22 порт все стало тихо.
Ладно сервер. У меня к домашнему роутеру постоянно подбирают пароль.
Чтобы не захламлять логи неудачными попытками входа, просто закрыл порты снаружи, кроме тех адресов, с которых я иногда могу зайти.
Чтобы не захламлять логи неудачными попытками входа, просто закрыл порты снаружи, кроме тех адресов, с которых я иногда могу зайти.
fail2ban наше все
Плюс вообще забыть про пароли для SSH.
Нестандартный порт + ключи + f2b.
Нестандартный порт + ключи + f2b.
А если у меня пароли создаются генератором, ну типа 3d2eBfDfe1^:, его же подобрать за разумное время проблематично
В данном случае нельзя не упомянуть xkcd
Темная армия уже близко Элиот
Вы не написали, сколько писем вы отослана на abuse адреса сеток, из которых к вам ломились боты.
Они уже там. Около тысячи сообщений на каждый.
О, вы прикрутили автоматическую отсылалку на таких ботов? Не поделитесь? А то я бы прикрутил :)
Простите, неверно выразился. Они уже есть в списках, на каждый около тысячи сообщений отправлено. Не мной.
Насчёт автоматизации — так тут всё просто) Я же адреса php скриптом из логов дёрнул. Достаточно в конец воткнуть ещё генерацию письма.
Отсылать не стал поскольку не уверен в том, что всё правильно сделал, ничего не пропустил и лишнего не вписал. А раз уже все там, так и не стал сильно беспокоится.
Насчёт автоматизации — так тут всё просто) Я же адреса php скриптом из логов дёрнул. Достаточно в конец воткнуть ещё генерацию письма.
Отсылать не стал поскольку не уверен в том, что всё правильно сделал, ничего не пропустил и лишнего не вписал. А раз уже все там, так и не стал сильно беспокоится.
Я когда-то вот такую штуку мастерил Наносим удар по ddos ботнету своими силами и были вполне реальные результаты работы, на письма были реальные ответы мол «спасибо, проверим». Сложно посчитать результативность, но, если бы так поступали многие, она была бы, несомненно.
Ибо если бы провайдер получил хотя бы 2 разные абузы на один ип, это бы стало толчком к действиям.
Ибо если бы провайдер получил хотя бы 2 разные абузы на один ип, это бы стало толчком к действиям.
Пока что поговорил с ними https://abuseipdb.com. Есть удобное апи для проверки и занесения
Говорят, что заносят в базу, при накопленнии достаточного количества жалоб отправляют абьюзы. Не доверять причин не вижу. Отправил сообщение им.
Говорят, что заносят в базу, при накопленнии достаточного количества жалоб отправляют абьюзы. Не доверять причин не вижу. Отправил сообщение им.
У сервера есть только IP, о его существовании знает семь человек
Все IP известны, скорее всего боты сканят диапазоны хостеров. Ко мне иногда заходят и ищут уязвимости, хотя я его вообще нигде не светил.
PS: SSH с паролем, серьезно? Не удивительно что они ломятся :)
Про то и разговор, что любой адрес кто-нибудь да брутфорсит и не надо думать, что ваш роутер никому не интересен. Выше в комментариях уже писали.
PS Вину осознал. Исправлюсь.)
PS Вину осознал. Исправлюсь.)
Видимо уже пора внедрять в операционные системы как часть безопасности удалённый мониторинг активности. Если с конкретного десктопа на минимум 10 в разных точках мира серверах происходит пароль подбора, то это значит что компьютер часть ботнета. Вопрос какие дальше действие предпринимать.
Это как в психологии человека: сам о себе сказать ничего не можешь. Но если попросишь дать обратную связь о себе, — тебе это сделают легко.
Это как в психологии человека: сам о себе сказать ничего не можешь. Но если попросишь дать обратную связь о себе, — тебе это сделают легко.
Пора слезать с андроида, вот что.
У сервера есть только IP, о его существовании знает семь человек и провайдер, его адрес указывался дважды в скайпе и три раза в письме.
Количество адресов IPv4 ограничено и используются не все. История вашего адреса неизвестна. Так что аргумент о неуловимом Джо, не подходит. Когда я начинал парсить сайты, мне также казалось, что придёться 4 млрд домёнов перебирать.
Насколько безопасно держать ssh на стандартном 22 с авторизацией по паролю, но пароль при этом случайный 15-значный? Подобрать его должно быть невозможно, но может еще какой-то способ атаки есть, о котором я не знаю?
А вообще да, беспечность населения в этом вопросе поражает. По работе периодически получаю от заказчиков их логины и пароли, ни разу не видел ничего сложнее, чем «реальное слово+число», причем слово обычно очевидно связано с заказчиком. При этом у многих немаленький бизнес завязан на эти аккаунты.
А вообще да, беспечность населения в этом вопросе поражает. По работе периодически получаю от заказчиков их логины и пароли, ни разу не видел ничего сложнее, чем «реальное слово+число», причем слово обычно очевидно связано с заказчиком. При этом у многих немаленький бизнес завязан на эти аккаунты.
Насколько безопасно держать ssh на стандартном 22 с авторизацией по паролю, но пароль при этом случайный 15-значный? Подобрать его должно быть невозможно, но может еще какой-то способ атаки есть, о котором я не знаю?С 22 порта ssh обычно переносят чтобы ботнеты логи не засоряли, и не тратили ресурсы сервера. 15 знаков — должно хватить, а если используется что-то вроде Fail2ban — то и 9 знаков обычно достаточно.
Подобрать его должно быть невозможно, но может еще какой-то способ атаки есть, о котором я не знаю?Стоит проверить, какие службы глядят в сеть — и или заблокировать их, или периодически обновлять — если они требуются для работы. Хотя Linux от этого редко страдает, а вот Windows XP до SP2 (и младше) — страдали часто, так как встроенного брандмауэра вообще не имели, от чего все включенные службы автоматически были доступны из вне.
А вообще да, беспечность населения в этом вопросе поражает. По работе периодически получаю от заказчиков их логины и пароли, ни разу не видел ничего сложнее, чем «реальное слово+число», причем слово обычно очевидно связано с заказчиком. При этом у многих немаленький бизнес завязан на эти аккаунты.Банальная неграмотность. Люди обычно не понимают, что пароль — это что-то на вроде «электронного паспорта»: если его найдёт мошенник, то он сможет с помощью него вести от вашего имени переписку, перевести деньги с вашего счёта (и т.п. — в зависимости от того, от чего был подобран пароль).
Кстати пересылать пароль по почте (в не зашифрованном виде) — само по себе не безопасно. Раньше — так и вообще, большинство почтовиков пересылало письма по сети в не зашифрованном виде, так что на всём сетевом оборудовании, через которое проходило письмо — его можно было «прослушать».
Создайте дефолтный сайт на WP (любая популярная CMS) и уберите модерацию|капчу коментов — ужаснетесь :)
Зашел однажды на один из таких айпишников из лога, обнаружил украинский роутер, у которого были отключены вообще все средства защиты.
Проблема реальная, но незачем разводить панику. Постепенно, когда маштабы будут расти, начнут вводить автоматизированные средства внесения в чёрные списки и информирования провайдеров о том, что с их адресов атаки, и штрафовать расхлябанных пользователей, которые игнорируют предупреждения.
Автосканирование ssh портов идет уже давно, несколько нет, не понимаю в чем проблема.
Естессно, боты сканят такие вкусные порты диапазонами. И где найдут — начинают брутить.
У меня на одном сервере тоже пухли логи попыток подключения по ssh. Вылечилось перевешиванием его на другой порт. И тишина.
У меня на одном сервере тоже пухли логи попыток подключения по ssh. Вылечилось перевешиванием его на другой порт. И тишина.
Работает смена портов как часы по одной причине, смысла брутить такие серваки особо нету. Думаю выхлоп от них на порядки ниже по нескольким причинам.
Первое — затраты на сканирование хоста по даже типовым портам на который перевешивают выше.
Второе — если человек уже парится сменой порта, то с высокой вероятностью он и о безопасности задумывается
Первое — затраты на сканирование хоста по даже типовым портам на который перевешивают выше.
Второе — если человек уже парится сменой порта, то с высокой вероятностью он и о безопасности задумывается
Хостю на своем домашнем железе домен одной областной спортивной федерации, уже несколько лет.
На роутере ssh, на файлопомойке за роутером — ssh, проброшенный через роутер.
Наколхозены скрипты, которые отправляют email при удачном/неудачном логине существующего на устройстве пользователя. Вот прям почти как параноик приготовился.
За несколько лет ни одного коннекта к ssh.
Секрет успеха: ssh на нестандартных портах. Точка.
Если найдутся энтузиасты среди ботов, то еще есть port knocking, который пока по статистике коннектов не вижу смысла использовать…
Ну и fail2ban для контрольного выстрела.
А на сладкое — коннект только по ключам.
Скажите, доктор, я не параноик?
На роутере ssh, на файлопомойке за роутером — ssh, проброшенный через роутер.
Наколхозены скрипты, которые отправляют email при удачном/неудачном логине существующего на устройстве пользователя. Вот прям почти как параноик приготовился.
За несколько лет ни одного коннекта к ssh.
Секрет успеха: ssh на нестандартных портах. Точка.
Если найдутся энтузиасты среди ботов, то еще есть port knocking, который пока по статистике коннектов не вижу смысла использовать…
Ну и fail2ban для контрольного выстрела.
А на сладкое — коннект только по ключам.
Скажите, доктор, я не параноик?
Совершенно необязательно, чтобы ваш адрес где-то когда-то публиковался. Например, ZMap еще когда его анонсировали пять лет назад, мог просканировать всё пространство ipv4 адресов за 45 минут. Сейчас, судя по уверениям на сайте, достаточно 5 минут и 10-гигабитного подключения.
Не вижу в этом проблемы, просто нужно понимать, что такое публичный доступ, и не надеяться на то, что этим доступом никто не воспользуется. И понимать это должны в первую очередь производители, поскольку большинство пользователей воспринимают всё связанное с компьютерами как магию, совершенно не представляют как оно работает и не имеют ни малейшего желания понимать.
Не вижу в этом проблемы, просто нужно понимать, что такое публичный доступ, и не надеяться на то, что этим доступом никто не воспользуется. И понимать это должны в первую очередь производители, поскольку большинство пользователей воспринимают всё связанное с компьютерами как магию, совершенно не представляют как оно работает и не имеют ни малейшего желания понимать.
Как то статья была то ли на хабре, то ли тут. Команда хакеров взламывала/искали устройства с старыми прошивками, дефолтными паролями и обновляла их и дыры закрывали.
Кто же вам запретит.
Но делайте соблюдая строго анонимность, иначе за вами прийдут.
Тк букву закона вы нарушаете.
Прецедент уже был, помню кто то при эпидемии червя заражающего какую то БД через имевшуюся тогда дырку, написал своего червя который вламывался везде и ставил патч.
Человек сделал это публично не скрываясь, на него был наезд, чем закончилось и был ли суд не помню.
Но делайте соблюдая строго анонимность, иначе за вами прийдут.
Тк букву закона вы нарушаете.
Прецедент уже был, помню кто то при эпидемии червя заражающего какую то БД через имевшуюся тогда дырку, написал своего червя который вламывался везде и ставил патч.
Человек сделал это публично не скрываясь, на него был наезд, чем закончилось и был ли суд не помню.
Это противоправная деятельность.
Ставим joomla, разрешаем регистрацию нового пользователя через письмо в почте (т.е. надо при регистрации указать мыло, получить на это мыло письмо, нажать ссылку). Через 1 неделю работы сайта (до него даже поисковики не добрались, гм....) получаем 5-10 новых регистраций в день всякого мусора (логин бред, мыло бред).
344000 попыток (больше, чем указано в статье) — это раз в секунду в течении 4 суток. Если рассматривать месяц (30 суток), одна попытка в 7-8 секунд. С такой частотой справился бы единственный хост, если предположить, что вы используете стандартные таймеры и не используете «серые» списки.
Одна авторизация SSH имеет порядок 1 килобайта (порядок, не точный размер) — это порядок (уменьшаем точность дальше) 10 килобит. Для вашего случая с месяцем — в 7,5 раз меньше, порядок — килобит/сек. Пожалуй, если вами заинтересуется в сто раз больше хостов, вы почувствуете некоторое проседание полосы и некоторый рост процессорной нагрузки. Единственная опасность — заполнение раздела логами доступа (у вас же они сжимаются и авторотируются, так что вам это не страшно).
Какое распределение адрес хоста/число попыток? Даже если основная масса =2, вы выиграете от изменения
pam_faildelay.
Зачем вы распечатываете логи 12-ым шрифтом? Попробуйте восьмёрку.
Одна авторизация SSH имеет порядок 1 килобайта (порядок, не точный размер) — это порядок (уменьшаем точность дальше) 10 килобит. Для вашего случая с месяцем — в 7,5 раз меньше, порядок — килобит/сек. Пожалуй, если вами заинтересуется в сто раз больше хостов, вы почувствуете некоторое проседание полосы и некоторый рост процессорной нагрузки. Единственная опасность — заполнение раздела логами доступа (у вас же они сжимаются и авторотируются, так что вам это не страшно).
Какое распределение адрес хоста/число попыток? Даже если основная масса =2, вы выиграете от изменения
pam_faildelay.
Зачем вы распечатываете логи 12-ым шрифтом? Попробуйте восьмёрку.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Что происходит в интернете, когда вы на него не смотрите