Как стать автором
Обновить

Как я собирал статистику по брутфорсу наших серверов и лечил их

Время на прочтение 5 мин
Количество просмотров 19K
Всего голосов 49: ↑48 и ↓1 +47
Комментарии 30

Комментарии 30

А вот вопрос. Допустим для брута используется ботнет, в этом ботнете умный чайник/пылесос/вибратор человека Н. У этого человека пускай будет статическйи айпи и все его умные штуки подключены к одному маршрутеризаторы. И вот злодей начинает атаку на сервак какого-то сайта — сайт его айпи блокирует. В итоге человек лешился доступа даже не зная об атаке
Простите, а где вопрос?
Сорри, вопрос — происходит ли так? Имеет ли права человек востановить доступ? И вообще какую реакцию вызывает такая ситуация
Да, происходит именно так(если у него «белый» ip)
Насчет восстановления доступа, можно попробовать написать админам сайта.
Но не факт, что они отреагируют.
Когда у нас в фирме сидела какая-то зараза, нам пришло несколько абузов на то, что с нашего адреса идет атака. Пришлось потом извинятся :)
На самом деле страшно, так из-за лампочки можно потерять доступ теоритически ко всем существующим ресурсам
Просто не надо пускать во вне все подряд.
Так скоро даже лампочка для включения будет просить доступ к китайскому «облаку». Причём для каждого включения.

бан обычно не перманентный, а на 20-180 минут, иногда сутки… так что не все так страшно

хуже, если будут забанены несколько динамических ip… в таком случае часть сайтов будут то работать, то не работать, в зависимости от того, какой ip вам сейчас выдали
> Так же были единичные IP адреса пытающиеся перебирать эти логины.
> Вероятно, просто дети играются:
> USR1CV8

Это дефолтовый логин для 1С. Возможны варианты типа USR1CV82, USR1CV83.

Это дефолтное имя учетки, под которой работает сервер 1С. Но у нормального админа у этой учетки никогда не будет RDP доступа.

Ссылка на гитхаб проекта находится тут.
А ссылка где?
Мне тоже интересно. Где ссылка?
Ссылка добавлена.

На мой взгляд сканировать журнал событий и по нему собирать статистику — не очень оптимально. Если правильно понял описание ваших скриптов, то в Linux это делается с помощью fail2ban.


В Tempesta FW есть специальное правило для блокировки переборщиков паролей. Например,


http_resp_code_block 401 403 10 3

заблокирует IP клиента, если его запросы сгенерировали 10 ответов с кодами 401 или 403 за 3 секунды.


Так же, таки блокировки можно делать и на ModSecurity.

RDP висел на дефолтном порту? Так вообще еще кто-то делает? Интереснее было бы, если использовались случайные порты >1000.
Сделайте и убедитесь сами, что особо без разницы. Это касается и RDP, и SSH, и SIP. Возможно чего-то ещё. Приемлемый вариант защиты для RDP и SSH, чтобы не банить ничего не подозревающих пользователей с «умной» лампочкой и иметь чистые логи — port knoking. К сожалению, к SIP не применим — там только >N ошибок регистрации — баним IP (лично я на сутки).
Странно, но у меня при смене порта количество подборов заметно уменьшалось. Особенно оно уменьшается, если использовать порт какого-то другого сервиса, почему-то боты не удосуживаются узнать что за ним висит и, получая от ssh отлуп, т.к. шлют неверные пакеты, довольно быстро забивают на сервер.

Статистику не собирал, сужу чисто визуально по логам.
Разницы нет. Общераспространённые протоколы типа RDP находятся на любом порту. Это уж совсем защита от школьников. Где-то на Хабре была цифра, что сканирование возможно со скоростью 10 млн. портов в секунду. Весь интернет перебирается за несколько минут.

Спасибо, но нет (хотя неважно, суть одна и та же).
Вот, нашёл:


Masscan — отличный сканер, и может сканировать со скоростью 10М портов в секунду. А в интернете всего 4 миллиарда IPv4. Соответственно, все 3306-ые порты в интернете находятся за 7 минут.

https://m.habr.com/ru/post/446772/

а можете объяснить про «защищенную» сеть. Что подразумевается под защищенной сетью если на нее тоже шли атаки?
Защищенная от DDoS атак сеть. Фильтрует флуд и некоторые атаки на HTTP сервера, поэтому так и называется.
Я посмотрел вашу утилиту на Гитхабе.
Получается, что она не работает, как сервис, а требует, чтобы админ запускал эти команды, что-то там соображал.

Я себе поставил вот эту утилиту, работает как сервис, всё делает сама на полном автомате:
github.com/digitalruby/ipban
Отслеживает несколько зафейленных логинов, а добавляет IP в firewall.
Да, запускать такие сервисы на клиентской машине мы никогда не будем. Конечный пользователь должен сам принять решение. Как человек писал выше, если твоя лампочка начала брутить твой сервер, ты просто на свой сервер по RDP не войдешь.
Другая идея заключается в том, что ~50% брутфорса можно отсеивать сразу, т.к. боты.
А. Брутят весь дата-центр или несколько подсетей.
Б. Имеют в PTR записи тирп HOST, SERVER, STATIC.
Чтобы отсеять 50% всех атак и облегчить жизнь всем, достаточно занести их в блэкхол на уровне сети ДЦ.
Да, запускать такие сервисы на клиентской машине мы никогда не будем. Конечный пользователь должен сам принять решение.


Практика показывает, что конечный пользователь ложит болт на все эти мероприятия по защите. Поэтому я поставил эту утилиту на несколько бухгалтерских машин, у которых наружу торчит RDP и горя не знаю.

Как человек писал выше, если твоя лампочка начала брутить твой сервер, ты просто на свой сервер по RDP не войдешь.


Для такого случая IP адреса внутренней сети можно записать в white list.
Ну а вообще — если в вашей внутренней сети уже работает бот / малварь, то перебор RDP паролей — это уже ваша не самая большая проблема.

Это как в том анекдоте:
— У нас дыра в безопасности!
— Ну хоть что-то у нас в безопасности.
А обязательно, чтобы наружу торчал голый RDP? Почему не сделать подключение к RDP через OpenVPN, wireguard, etc.
Когда мышеловку закрывают в сейф, мыши ловиться перестают.
Почитайте: ru.wikipedia.org/wiki/Honeypot

Сейчас в тренде CVE-2020-1472 aka Zerologon. Его мониторить не пробовали?

А, так вот что было с виндовс-машиной, когда через некоторое время RDP ложился напрочь
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.