Комментарии 30
А вот вопрос. Допустим для брута используется ботнет, в этом ботнете умный чайник/пылесос/вибратор человека Н. У этого человека пускай будет статическйи айпи и все его умные штуки подключены к одному маршрутеризаторы. И вот злодей начинает атаку на сервак какого-то сайта — сайт его айпи блокирует. В итоге человек лешился доступа даже не зная об атаке
Простите, а где вопрос?
Сорри, вопрос — происходит ли так? Имеет ли права человек востановить доступ? И вообще какую реакцию вызывает такая ситуация
Да, происходит именно так(если у него «белый» ip)
Насчет восстановления доступа, можно попробовать написать админам сайта.
Но не факт, что они отреагируют.
Когда у нас в фирме сидела какая-то зараза, нам пришло несколько абузов на то, что с нашего адреса идет атака. Пришлось потом извинятся :)
Насчет восстановления доступа, можно попробовать написать админам сайта.
Но не факт, что они отреагируют.
Когда у нас в фирме сидела какая-то зараза, нам пришло несколько абузов на то, что с нашего адреса идет атака. Пришлось потом извинятся :)
> Так же были единичные IP адреса пытающиеся перебирать эти логины.
> Вероятно, просто дети играются:
> USR1CV8
Это дефолтовый логин для 1С. Возможны варианты типа USR1CV82, USR1CV83.
> Вероятно, просто дети играются:
> USR1CV8
Это дефолтовый логин для 1С. Возможны варианты типа USR1CV82, USR1CV83.
Ссылка на гитхаб проекта находится тут.А ссылка где?
На мой взгляд сканировать журнал событий и по нему собирать статистику — не очень оптимально. Если правильно понял описание ваших скриптов, то в Linux это делается с помощью fail2ban.
В Tempesta FW есть специальное правило для блокировки переборщиков паролей. Например,
http_resp_code_block 401 403 10 3
заблокирует IP клиента, если его запросы сгенерировали 10 ответов с кодами 401 или 403 за 3 секунды.
Так же, таки блокировки можно делать и на ModSecurity.
RDP висел на дефолтном порту? Так вообще еще кто-то делает? Интереснее было бы, если использовались случайные порты >1000.
Сделайте и убедитесь сами, что особо без разницы. Это касается и RDP, и SSH, и SIP. Возможно чего-то ещё. Приемлемый вариант защиты для RDP и SSH, чтобы не банить ничего не подозревающих пользователей с «умной» лампочкой и иметь чистые логи — port knoking. К сожалению, к SIP не применим — там только >N ошибок регистрации — баним IP (лично я на сутки).
Странно, но у меня при смене порта количество подборов заметно уменьшалось. Особенно оно уменьшается, если использовать порт какого-то другого сервиса, почему-то боты не удосуживаются узнать что за ним висит и, получая от ssh отлуп, т.к. шлют неверные пакеты, довольно быстро забивают на сервер.
Статистику не собирал, сужу чисто визуально по логам.
Статистику не собирал, сужу чисто визуально по логам.
Разницы нет. Общераспространённые протоколы типа RDP находятся на любом порту. Это уж совсем защита от школьников. Где-то на Хабре была цифра, что сканирование возможно со скоростью 10 млн. портов в секунду. Весь интернет перебирается за несколько минут.
а можете объяснить про «защищенную» сеть. Что подразумевается под защищенной сетью если на нее тоже шли атаки?
Я посмотрел вашу утилиту на Гитхабе.
Получается, что она не работает, как сервис, а требует, чтобы админ запускал эти команды, что-то там соображал.
Я себе поставил вот эту утилиту, работает как сервис, всё делает сама на полном автомате:
github.com/digitalruby/ipban
Отслеживает несколько зафейленных логинов, а добавляет IP в firewall.
Получается, что она не работает, как сервис, а требует, чтобы админ запускал эти команды, что-то там соображал.
Я себе поставил вот эту утилиту, работает как сервис, всё делает сама на полном автомате:
github.com/digitalruby/ipban
Отслеживает несколько зафейленных логинов, а добавляет IP в firewall.
Да, запускать такие сервисы на клиентской машине мы никогда не будем. Конечный пользователь должен сам принять решение. Как человек писал выше, если твоя лампочка начала брутить твой сервер, ты просто на свой сервер по RDP не войдешь.
Другая идея заключается в том, что ~50% брутфорса можно отсеивать сразу, т.к. боты.
А. Брутят весь дата-центр или несколько подсетей.
Б. Имеют в PTR записи тирп HOST, SERVER, STATIC.
Чтобы отсеять 50% всех атак и облегчить жизнь всем, достаточно занести их в блэкхол на уровне сети ДЦ.
Другая идея заключается в том, что ~50% брутфорса можно отсеивать сразу, т.к. боты.
А. Брутят весь дата-центр или несколько подсетей.
Б. Имеют в PTR записи тирп HOST, SERVER, STATIC.
Чтобы отсеять 50% всех атак и облегчить жизнь всем, достаточно занести их в блэкхол на уровне сети ДЦ.
Да, запускать такие сервисы на клиентской машине мы никогда не будем. Конечный пользователь должен сам принять решение.
Практика показывает, что конечный пользователь ложит болт на все эти мероприятия по защите. Поэтому я поставил эту утилиту на несколько бухгалтерских машин, у которых наружу торчит RDP и горя не знаю.
Как человек писал выше, если твоя лампочка начала брутить твой сервер, ты просто на свой сервер по RDP не войдешь.
Для такого случая IP адреса внутренней сети можно записать в white list.
Ну а вообще — если в вашей внутренней сети уже работает бот / малварь, то перебор RDP паролей — это уже ваша не самая большая проблема.
Это как в том анекдоте:
— У нас дыра в безопасности!
— Ну хоть что-то у нас в безопасности.
А обязательно, чтобы наружу торчал голый RDP? Почему не сделать подключение к RDP через OpenVPN, wireguard, etc.
Когда мышеловку закрывают в сейф, мыши ловиться перестают.
Почитайте: ru.wikipedia.org/wiki/Honeypot
Почитайте: ru.wikipedia.org/wiki/Honeypot
Сейчас в тренде CVE-2020-1472 aka Zerologon. Его мониторить не пробовали?
А, так вот что было с виндовс-машиной, когда через некоторое время RDP ложился напрочь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как я собирал статистику по брутфорсу наших серверов и лечил их