DDoS-атака на RDP-службы: распознать и побороть. Успешный опыт от Tucha

Расскажем вам прохладную историю о том, как «третьи лица» пытались помешать работе наших клиентов, и как эта проблема была решена.

Как всё началось


А началось всё с утра 31 октября, в последний день месяца, когда многим позарез необходимо успеть закрыть срочные и важные вопросы.

Один из партнёров, который держит в нашем облаке несколько виртуальных машин клиентов, которых он обслуживает, сообщил о том, что с 9:10 до 9:20 сразу несколько Windows-серверов, работающих на нашей украинской площадке, не принимали соединения со службой удалённого доступа, пользователи не могли зайти на свои рабочие столы, но через несколько минут проблема как будто бы устранилась сама собой.

Мы подняли статистику работы каналов связи, но не обнаружили ни всплесков трафика, ни провалов. Заглянули в статистику нагрузки на вычислительные ресурсы – никаких аномалий. И что это было?

Затем ещё один партнёр, который размещает в нашем облаке ещё под сотню серверов, сообщил о таких же проблемах, которые отметили некоторые их клиенты, при этом выяснилось, что в целом серверы доступны (исправно отвечают на ping-тест и другие запросы), но служба удалённого доступа на этих серверах то принимает новые соединения, то отклоняет их, при этом речь шла о серверах на разных площадках, трафик к которым поступает из разных каналов передачи данных.

А давайте посмотрим на этот трафик. Пакет с запросом на установление соединения приходит на сервер:

xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

Сервер получает этот пакет, но соединение отклоняет:

xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0

Это значит, что проблема явно обусловлена вовсе не какими-то неполадками в работе инфраструктуры, а чем-то ещё. Может, у всех пользователей возникли проблемы с лицензированием удалённых рабочих столов? Может, в их системы успело внедриться какое-то вредоносное ПО, а сегодня оно активировалось, как пару лет назад было с XData и Petya?

Пока разбирались, получили аналогичные обращения от ещё нескольких клиентов и партнёров.
А что вообще происходит на этих машинах?

В журналах регистрации событий полно сообщений о попытке подобрать пароль:



Обычно такие попытки регистрируются на всех серверах, где для службы удалённого доступа используется стандартный порт (3389) и при этом разрешён доступ отовсюду. В сети Интернет полным-полно ботов, которые постоянно сканируют все доступные точки подключения и пытаются подобрать пароль (именно по этой причине мы настоятельно рекомендуем использовать сложные пароли вместо «123»). Тем не менее, интенсивность этих попыток в тот день была уж слишком высока.

Как поступить?


Рекомендовать клиентам посвятить кучу времени на то, чтобы изменить настройки у огромного количества конечных пользователей, чтобы переключиться на другой порт? Не очень хорошая идея, клиенты не будут рады. Рекомендовать разрешить доступ только через VPN? В спешке и панике поднимать IPSec-соединения, у кого они не подняты, – пожалуй, клиентам такое счастье тоже не улыбается. Хотя, надо сказать, это в любом случае дело богоугодное, мы всегда рекомендуем прятать сервер в частную сеть и готовы помогать с настройками, а для любителей разбираться самостоятельно делимся инструкциями для настройки IPSec/L2TP в нашем облаке в режиме site-to-site или road-warrior, а если кто желает поднять VPN-службу на своём собственном Windows-сервере – всегда готовы поделиться подсказками касательно того, как поднять стандартный RAS или OpenVPN. Но, какие бы клёвенькие мы ни были, это было не лучшее время для ведения просветительской работы среди клиентов, так как нужно было как можно быстрее устранить проблему с минимальным напрягом для пользователей.

Решение, которое мы внедрили, заключалось в следующем. Мы наладили анализ проходящего трафика таким образом, чтобы отслеживать все попытки установить TCP-подключение к порту 3389 и выбирать из него адреса, которые в течение 150 секунд пытаются установить соединения с более чем 16 разными серверами в нашей сети, – это и есть источники атаки (разумеется, если у кого-то из клиентов или партнёров есть реальная потребность устанавливать соединения с таким количеством серверов из одного и того же источника, всегда можно добавить такие источники в «белый список». При этом, если в одной сети класса C за эти 150 секунд выявлено более 32 адресов, есть смысл блокировать всю сеть. Блокировка устанавливается на 3 суток, а если за это время атаки из данного источника не производились, этот источник удаляется из «чёрного списка» автоматически. Список заблокированных источников обновляется раз в 300 секунд.



Список этот доступен вот по такому адресу: https://secure.tucha.ua/global-filter/banned/rdp_ddos, можете строить на базе него свои ACL.

Исходным кодом такой системы мы готовы поделиться, в нём нет ничего сверхсложного (это несколько простеньких скриптов, составленных буквально за пару часов «на коленке»), и при этом его можно адаптировать и использовать не только для защиты от такой атаки, но и для выявления и блокирования любых попыток сканирования сети: переходите по этой ссылке.

Вдобавок мы внесли некоторые изменения в настройки системы мониторинга, которая теперь более пристально следит за реакцией контрольной группы виртуальных серверов в нашем облаке на попытку установить RDP-подключение: если реакция не воспоследовала в течение секунды – это повод обратить внимание.

Решение оказалось достаточно эффективным: жалоб как со стороны клиентов и партнёров, так и со стороны системы мониторинга больше нет. В «чёрный список» регулярно попадают новые адреса и целые сети, что говорит о том, что атака продолжается, но уже не влияет на работу наших клиентов.

Один в поле не воин


Сегодня мы узнали, что с аналогичной проблемой столкнулись и другие операторы. Кто-то всё ещё считает, что это Microsoft внесла какие-то изменения в код службы удалённого доступа (если помните, мы в первый день заподозрили то же самое, но эту версию мы очень скоро отвергли) и обещает сделать всё возможное, чтобы как можно скорее найти решение. Кто-то просто игнорирует проблему и советует клиентам защищаться своими силами (менять порт подключения, прятать сервер в частную сеть и так далее). А мы в первый же день не только решили эту проблему, но и создали некоторый задел для более глобальной системы обнаружения угроз, которую планируем развивать.



Отдельное спасибо клиентам и партнёрам, которые не молчали и не сидели на берегу реки в ожидании, что по ней однажды проплывёт труп врага, а сразу же обратили наше внимание на проблему, что и дало нам возможность устранить её в тот же день.

Средняя зарплата в IT

111 111 ₽/мес.
Средняя зарплата по всем IT-специализациям на основании 6 788 анкет, за 2-ое пол. 2020 года Узнать свою зарплату
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 75

    0
    Все проблемные машины были 2008 / 2008 R2?
      0
      Большинство — таки да, 2008R2, но, смутно припоминается, что были среди них и другие Windows-системы. В течение 24 часов предоставим точный ответ. :-)
        0
        Да, большинство — Windows Server 2008R2, но был случай и с одной Windows 10 (да, некоторые клиенты держат в облаке Windows 10, видимо, им так нравится).
          0
          А какая лицензия позволяет в вашем облаке держать клиентскую, а не серверную версию Windows?
            0

            Если у клиента есть своя лицензия — он ее приносит с собой и использует. По условиям принимаемой клиентами публичной оферты мы не несём ответственности за всё, что происходит внутри виртуального сервера и даже не имеем права анализировать, что на нём работает. Клиент получил виртуальный сервер, а дальше он может делать с ним что угодно, пока на его деятельность не поступает жалоб со стороны.

              0
              Т.е. там, где вы это позволяете (только Flex+, я так понимаю?), вы лицензируете виртуальные машины индивидуально, гипервизоры не лицензируете?
                0
                А и так, и эдак выходит: те, кто покупают у нас по программе SPLA лицензию на Windows Server Standard — тех лицензируем индивидуально, а ещё у нас есть целый ряд гипервизоров с лицензией Windows Server Datacenter — это для тех, для кого услуга (TuchaBit) подразумевает выделение такой лицензии.
                  0
                  Те машины, что лицензированы через SPLA (даже которые по отдельности), они же под вашим управлением?)
                    0
                    Никак нет. У нас вообще очень малый процент машин, к которым мы имеем право доступа. Такое право мы имеем только в том случае, если
                    1) клиентом выбран расширенный уровень поддержки как дополнительная платная услуга (тогда административный доступ есть и у нас, и у клиента), или
                    2) если ему оказывается так называемая «поддержка по гарантии» (тогда административный доступ есть только у нас, клиенту он предоставляется по первому требованию, но тогда «поддержка по гарантии» анулируется и дальнейшая поддержка может оказываться уже только как услуга расширенной поддержки).
                    Во всех остальных случаях мы не имеем прав доступа к этим машинам и к данным, которые там размещены. Мы заинтересованы в том, чтобы у нас не было даже технической возможности получить этот доступ, потому клиентам часто рекомендуем использовать системы шифрования дисковых разделов.
                      0
                      Жаль вас разочаровывать, но у вас должен быть доступ внутрь всех машин, лицензированных по SPLA, для соблюдения Customer shall not permit End User… to access, maintain, or otherwise use the Products, except for the sole purpose of accessing the functionality of the Products in the form of Software Services in accordance with the terms of this agreement. (Т.е. нельзя пиратить ПО Microsoft)

                      Дело в том, что Customer is responsible for all of its obligations under this agreement regardless of the physical location of the servers involved in providing the Software Service. Customer will be responsible to Microsoft for any unauthorized installation, use, copying, access or distribution of the Products by the End User.

                      Но, конечно, если у вас уже был аудит и сказал, что всё хорошо, тогда наверное действительно соглашение соблюдается)
                        0

                        So what? Let's read it carefully: "… accessing the functionality of the Products in the form of Software Services in accordance with the terms of this agreement" — what exactly obliges the provider to manage the software?


                        The users are "accessing the functionality" — that's exactly what they're doing. There is no violation in letting them to have full administrative access to their operating systems. There are hundreds (if not thousands) of companies providing Microsoft's products to their end users according to SPLA terms — don't you think that they don't give their customers full administrative access to their systems? ;-)

                          0
                          Я не про административный доступ пользователей, а про административный доступ у вас: вы должны следить, чтобы внутри машин, лицензированных по SPLA не было ПО Microsoft, на которое у вас (не у вашего клиента — это важно) нет лицензий. Вон у UltraVDS явно есть какая-то «служба интеграции с вашим личным кабинетом», например — наверное позволяет им выполнять код внутри VM, который можно в т.ч. для аудита использовать.
                            0
                            Интересно… Не совсем понятно, как это следует из процитированного Вами текста, но мы всё же зададим этот вопрос дистрибьютору. Спасибо!
                              0
                              Мне наш поставщик такое отвечал (тоже специально спрашивал):
                              "...under the SPLA program, as the service provider, you are the licensee, not the End Customer.
                              The End customer should only have access to the functionality of the product.
                              As the service provider you have day to day management and control per the agreement"
                              «At your datacenter, the same applies...The End User will only have access to the functionality of the products.
                              You will have management and control of the server and software installed on it- not the End User.»
                                0
                                Спасибо, этот аспект мы проясним.
                                  0
                                  Пока дистрибьютер говорит вот чего:
                                  В данном соглашении написано только про доступ к серверам.
                                  По этому как такого доступа внутрь ВМ Вам не нужно иметь.

                                  Видимо, имеется в виду таки физический доступ к серверам. Мы ещё их расспросим, сообщим о результатах.
                                    0
                                    Напишем официальный запрос в Microsoft, пожалуй. :-)
                                      0
                                      Если будет такая возможность процитируйте ответ и сюда, очень интересная эта тема
                                        0
                                        С удовольствием, коллеги.
                                        0
                                        Привет! Как у вас там дела? Написали? Получили что в ответ?
                                          0
                                          Привет!

                                          В Microsoft мы ещё в прошлом году отправили первый запрос, чтобы получить разъяснения касательно того, должны ли у провайдера быть права доступа к машине. Microsoft подумал-подумал и где-то через месяц прислал ответ, из которого следовало, что вопрос они так и не поняли. :-( Мы сердечно поблагодарили их за ответ на вопрос, который мы не задавали, и сформулировали вопрос немного иначе. Ответ так и не поступил. Отправили повторный запрос. До сих пор ждём ответ.

                                          Мне уже кажется, что они сами не вполне знают, что ответить. Возможно, вопрос этот сейчас вызывает ожесточённые споры где-то внутри корпорации. А возможно — товарищи просто забили :-)

                                          — В.М.
              0

              Использовать средства защиты? Ips?

                0

                В нашем случае изобрести свой простенький самокат для анализа оказалось в самом деле намного быстрее (ну да, сани — летом, детям — мороженое).

                0

                Версия винды тут не причем. Да и не DDOS это, а попытка подобрать пароль, для того чтобы запустить шифровальщик. Отказ обслуживания это скорее неожиданный побочный эффект.

                  0

                  Это однозначно так.
                  Но очень интересным является то, что в первые дни интенсивность атаки резко вырастала с 9-10 по Киеву и к 18-19 уже падала. Сейчас уже стало более-менее ровно, а в первые дни именно так и было. Объяснить это включаемыми и выключаемыми компьютерами, явящимися частью какого-то ботнета, было бы можно, но атакующие долбят из самых разных часовых поясов.

                    0
                    Очень странно, но до вот этого сообщения, я нигде не встречал жалобы на что-то отличное от 2008 R2. Попытки подобрать пароль на открытые миру RDP-службы и так ведутся постоянно.
                    Вот как выглядит этот отказ в обслуживании: сервер явно отправляет RST, при этом внутри машины особой нагрузки нет. Попыток подключения — около 2-х в секунду — не так уж и много, как мне кажется.
                    image
                      0
                      Есть некоторая вероятность, что у клиента, который столкнулся с этим явлением на Windows 10, проблема заключалась в другом, так как он столкнулся с ней ещё до 31 октября, а устранить её смог только после наката обновлений на систему. Мы по этой причине, когда начался этот флуд, сперва даже подумали, что у всех остальных тоже хорошо бы накатить обновления. На одной машине клиент их установил — его, вроде, отпустило, мы обрадовались и начали рекомендовать делать это всем остальным, но через полчаса проблема проявилась и у тех, кто обновился.
                      0
                      Версия винды тут очень даже при чем.
                      Достаточно долгое время имею несколько ханипотов смотрящих рдп в дикий интернет.
                      Они находятся внутри одной подсети (т.е под стандартный сканер должны попадать в одно и то же время) но с разными версиями винды.
                      Брутят понятное дело всегда. Но именно с Denial of Service по изложенной в статье причине столкнулся 22 числа и только на машинах под управлением Server 2008.
                      0
                      Я всегда думал, что выставлять RDP наружу не хорошая идея, даже для одного сервера. Атут у людей под сотю серверов, но желания поставить хотябы банальный шлюз и поднять VPN фантазии не хватает…
                        0

                        Мы там писали об этом: всегда рекомендуем пользователям прятать такие машины в частную сеть и ходить к ним через VPN. Но далеко не все согласны: им надо "удобно", с этим приходится считаться.

                          +1
                          Что помешает злоумышленнику точно так же долбиться в VPN, пытаясь подобрать логин/пароль к нему?
                            0
                            Ничего не помешает. Но и злоумышленник никому не помешает, в отличие от ситуации, когда он долбит по службе удаленного доступа и не даёт ей принимать соединения.
                              +1
                              И все-таки не совсем понимаю: Разве нельзя задудосить сам IPSec? IPSec более устойчив к DDoS, чем TCP/IP?

                              В одном случае ляжет служба RDP (а может быть вообще весь TCP-трафик). В другом — служба IPSec. Это просто нюансы.
                                0
                                Задудосить теоретически можно вообще что угодно, но службу удаленного доступа на Windows Server 2008 и 2008R2 гораздо проще, чем IPSec-шлюз, в том и дело.
                          –2
                          Ребята открыли для себя настройку на микротике блокировщика за частые подключения.
                          Добро пожаловать в ряды системных администраторов.
                            0

                            Никак нет у нас везде D-Link, TPLink и Planet. ;-)

                              0

                              Ладно, если без сарказма, то анализировать трафик нужно было централизованно, а не на каком-то одном маршрутизаторе, так как площадок несколько, точки входа в них разные и хотелось видеть общую картину по всей сети, а не разные картины на разных граничных узлах сети.

                                –3
                                Не, это не микротик, это fail2ban повторно открыли :)
                                  +1
                                  Такая себе шутка. fail2ban не анализирует транзитный трафик и не может отследить, что какой-то клиент подключается к Windows-серверу и пытается подобрать пароль. Но неплохо, что fail2ban открыли для себя Вы. =)
                                    –1
                                    Fail2ban вообще не анализирует трафик. Он анализирует лог на наличие сигнатуры. Откуда этот лог появился — fail2ban без разницы. На основании фактов обнаружения и частости обнаружения сигнатуры принимается решение о выполнении действия (срабатывает триггер). В Вашем случае — блокирование по Ip. Каким образом будет исполнено действие fail2ban также без разницы — на срабатывание триггера будет запущен скрипт. Слить события для анализа и написать скрипт для блокировки — на мой взгляд именено это и было Вами проделано.
                                      0

                                      В данном случае нужно подсчитать, к скольки целям обратился один и тот же источник за короткий промежуток времени. Не просто увидеть, что были обращения от одного и того же источника, а точно быть уверенными в том, что его поведение ещё более нетипично. Увы, fail2ban тут никак не подходит.

                                        0
                                        Для получения требуемого — простой препроцессор-фильтр по частости. Можно прямо с сислога маршрутизаторов. Далее штатный механизм. Бонус — документированность. Больше тревог вызывает нагрузочная способность данных конструкций, т.к. в ирл под серьезной нагрузкой реалтайм анализ будет невозможен.
                                          +1

                                          Всё классно, но зачем в этой схеме fail2ban, если вокруг него придется городить то же самое, что получилось у нас, но без fail2ban? :-)))

                                            0
                                            А это уже вопрос философский… Закон сохранения велосипедомассы достаточно универсален. Если решение не будет тиражироваться, поддерживаться, развиваться, то да — ни к чему. Решение требовалось здесь и сейчас, решение было предложено.
                                            Если же планируется дальнейшая эксплуатация — целесообразно минимизировать объем логики, который требуется поддерживать и документировать своими силами.
                                              0
                                              И, должен сказать, не могу поспорить, зачастую имеет смысл наложить какую-то дополнительную логику на платформу, которая является расширяемой и достаточно широко используется, нежели с относительного «нуля» реализовывать всё то, что в ней уже есть.
                                          0
                                          На самом деле подходит, несколько лет назад натыкался тут на статью реализации распределенного fail2ban, думаю что поиском ее можно найти.
                                          Примерно по этому же (и по такому как и вы) пути тоже пришлось пройти и был написан свой велосипед для централизации атак. На Linux серверах и ханипотах висит процесс отслеживающий аномальную сетевую активность (типа попытки подключения по 3389 к unix серверу или бруту ssh или запросу административных путей на вебе) и отправлении события в общую БД. в БД запросы централизованно анализируются и на основе статистики со всей подсети (или всех обслуживаемых хостов) принимается решение о блокировке. После чего данные вносятся в базу заблоченных адресов (ссыль на которую я кидал ниже) с настраиваемым весом угроз и собственно таймером блокировки. Далее тот же демон запущенный на хосте забирает информацию о заблоченных адресах и локально блокирует им доступ через iptables. Также эту информацию забирает BRAS и также блокирует доступ ко всей своей подсети
                                            0

                                            Ну, по всей видимости, то же самое получится через несколько апдейтов и у нас. :-)

                                        0
                                        Статья вроде 5 летней давности. Моя.
                                        Была в песочнице. И оказалась нафиг не кому не нужна.
                                        awsswa.livejournal.com/32594.html
                                    0
                                    у нас тоже последнюю неделю долюят с тех же сетей что в вашем списке, но не рдп, а 25, 443, 139 и 445 порты… устанавливают куча соединений и сервер больше не может устьановить «нужные» соединения
                                      0
                                      С тех же? Отлично, тогда наш список вам поможет. :-)
                                      0
                                      для службы удалённого доступа используется стандартный порт (3389)

                                      На наши терминальные сервера было несколько попыток атак подбора пароля, хотя порты были нестандартными. Так что, порт здесь не при чем.

                                      Одна попытка увенчалась успехом. Но ущерб был минимальным. Хоть логин/пароль для входа в систему за трое суток удалось подобрать, но конкретно на этом сервере профайла этого пользователя не было (профайлы не переносимые). Да и система разграничения доступа была более-менее четко настроена. Поэтому злоумышленнику (тоже с Украины) не удалось зашифровать слишком много. Только незащищенную часть файлопомойки (а кто там хранил важную инфу, тот сам себе злобный Буратино) и один логический (не системный) диск одного диспетчерского АРМ (просто забыли закрыть доступ после завершения настроечных работ). Вот последнее — уже серьезнее: на этом диске крутился рабочий проект сбора телеметрии, а резервная копия лежала как раз в незащищенной файлопомойке. Пришлось ставить более старый проект с отсутствующими некоторыми объектами и 2 недели допиливать его до актуальности.

                                      Потом еще наблюдали такую картину: идет атака подбора паролей, но с разных IP (диапазон весьма широкий — не кустарь работал, как в прошлый раз, а целый ботнет), причем, очень редко и почти незаметно: 2-3 попытки в минуту.

                                      Это я к чему: Отследить скриптами такую активность (редкие попытки с разных IP) и пресечь ее будет весьма затруднительно.
                                        0
                                        Тем и хорош «самодельный самокат», что алгоритм можно менять как угодно. Чтоб отфильтровать такие вот редкие попытки, можно брать данные не за 2.5 минуты, а за несколько часов. Отслеживать продолжительность сессии (с момента первого SYN до финального RST). Взвешивать среднюю продолжительность и количество таких сессий. Если их как-то слишком много, а средняя продолжительность (или объём переданных данных) совсем малая — банить.

                                        У нас просто задача была в том, чтобы отфильтровать те запросы, которые создают помехи в работе, потому алгоритм фильтрования именно таков. Но его легко адаптировать для других задач.
                                          0
                                          Если их как-то слишком много, а средняя продолжительность (или объём переданных данных) совсем малая — банить.

                                          Так кого банить?

                                          Повторяю: Атака велась ботнетом с разных адресов. С очень разных. Из сотен выявленных адресов было обнаружено, кажется, всего 2-3 пары совпадений, да и то разнесенных на часы.

                                          Так что, выявить атаку можно, можно предпринять допмеры по защите. Но автоматически купировать ее блоком по IP в данном случае нельзя.

                                          Мы поступили просто: Настроили брандмауэр на разрешение подключения по RDP только с IP из белого списка. Благо, подключения шли только через местных провайдеров. Но для хостинга, понятное дело, такое не подходит.
                                            0
                                            Или, как вариант, разрешать подключения по RDP только внутри VPN. Мы своим клиентам всегда советуем поднимать IPSec, но не все готовы (немножко больше телодвижений для пользователя, особенно — если пользователь мобильный и потому site-to-site между офисом и облачной средой задачу не решит).
                                              0
                                              Вот VPN удавалось поднять только через PPTP. Через L2TP/IPSec никак не выходило. То шлюзовое оборудование не работает по этим протоколам, то с Traffic Inspector конфликтует.

                                              Кстати, главный разработчик TI — мой сосед по лестничной площадке. Так он подтвердил, что подружить шлюз TI с L2TP/IPSec — та еще задача для потомственных шаманов в третьем поколении.
                                                0
                                                Трудно сказать, почему так, мы с их шлюзами не сталкивались. Может, если бы столкнулись, окажется, что и наши предки были шаманами. :-) Чаще всего клиенты поднимают site-to-site туннель с Mikrotik, там этот самый IPSec очень легко заводится. Ну и road-warriors с обычным Windows, куда же без них.
                                                  0
                                                  Так это Вам повезло :)

                                                  Мы пользуем TI уже лет 15, или около того. Лучше всего работала 1-я версия. Во второй начались проблемы с построением отчетов. Такое ощущение, что часть трафика просто в отчеты не попадает. Или я не умею их готовить. Но в целом тоже работало нормально.
                                                  Но потом все сайты стали переходить на HTTPS, а TI фильтрует по URL только HTTP. В результате куча народа сидят в ОК и других соцсетях, а начальство ругается. И они нас уговорили перейти на 3-ю версию. Мол там MITM и фильтрация по HTTPS тоже работает.
                                                  В результате перестали работать некоторые счетчики — трафик обновлений программ должен идти с нулевым весом, но идет с полным. MITM так и не смогли настроить — с терминальных серверов либо нет фильтрации, либо вообще рубит всё (а с обычных компов все работает). И скрипты обслуживания выполнялись не полностью — иногда приходилось их запускать по несколько раз, чтобы отработали. Но скрипты — то немногое, что они по заявке все же починили.

                                                  А остальное бесит до такой степени, что хочется снести этот TI и оставить голый виндовый брендмауэр. И без всякого контроля трафика. Или даже просто поставить железный роутер — тот же Mikrotik. Но пока не знаю, как заставить его переключаться на резервного провайдера, если через основного связи нет.

                                                  И еще не удается пробросить через шлюз SSH. Т.е. он пробрасывается и даже какая-то движуха через него идет, но все искажено полностью и ничего не работает. Причину так и не понял, но подозреваю, что TI и здесь виноват.
                                                    0

                                                    Аж захотелось разослать клиентам письмо, мол, нет ли у Вас в инфраструктуре этого чуда техники, чтобы попробовать.


                                                    Или, если хотите, возьмите у нас пробный период, а мы попробуем подружить Ваш TI с нашим хозяйством.

                                                      0
                                                      Спасибо, но пока что необходимости нет. У нас пока что другая проблема — импортозамещать ПО заставляют.

                                                      Если найдется клиент с TI — отпишитесь, пожалуйста. А то, честно говоря, засилье багов в последних версиях и сборках TI напрочь убивают желание разбираться кто виноват во всех косяках и что делать. Проще принять, что во всем виноват TI, ничего с этим не поделать и смириться :)
                                                      Тем более, что техподдержка у них стала платная по годовой подписке. Т.е. сообщить о баге, конечно, можно. Но если подписка на ТП закончилась, то исправленную версию все равно не скачаешь :) А так хорошо начиналось. Даже была бесплатная персональная (однопользовательская) версия, которую можно было применять для фильтрации контента. Я у детей ставил, чтобы на порносайты не забрели случайно.
                                        0
                                        185.104.209.71 Долбился в smtp/smtps 4 ноября около 8 вечера
                                        И почему-то числа с 25 октября начало расти число подключений на почтовый сервер.
                                          0
                                          Эдак мы составим полную карту чьего-то ботнета :-)
                                            0
                                            Ну, самое простое: взломать серверные аккаунты и сделать через него релей спама. Как раз по SMTP.

                                            Но с этим всё должно быть просто.

                                            1. Если почтовый сервер оконечный, то релей должен быть запрещен. Если нет, то должна быть включена аутентификация по SMTP.
                                            2. Дополнительная проверка по обратному резольвингу PTR-записей в MX-записи отметает почти 100% подключений ботнета. Но не все.
                                            3. Если есть возможность — включить SPF-контроль.
                                            4. Ну и включить всякие эвристики по полям «To:», «Cc:», «Bcc:». Например, ограничить допустимое число получателей, рубить письма с большим числом чередований кириллицы и латиницы.

                                            Когда у нас был свой SMTP я еще экспериментировал с динамическим выявлением массовых рассылок:

                                            www.courierms.ru/forum/viewtopic.php?t=1840

                                            Результат был неплох (после всех фильтров улавливало еще свыше 30% спама), но от эмуляции к боевой эксплуатации так и не перешли, а потом отказались от своего почтового сервера в пользу PDD на Яндексе. А жаль — спама сейчас гораздо больше.

                                            Так что, защитить SMTP от спама и релея несколько проще, чем RDP от подбора паролей. Да и ущерб от взлома SMTP не критичны. Разве что начнут экстремистскую литературу и приглашения на митинги рассылать. Тогда: да… чревато.
                                            0
                                            У себя закрыл следующие сети:
                                            image
                                            С них долбили на 22, 80, 443 порт. до 1600 соединений единовременно.
                                              +1
                                              Тоже столкнулся с этим, правда началось еще 22 числа.
                                              Вот мой список (ок 7000) адресов с которых ведутся атаки. Правда в нем не только попытки подключения к рдп на 3389, но и брут ssh/telnet а так же попытки захода на /wp-admin /phpmyadmin и прочих запросов административных путей.
                                                0

                                                Люто плюсуем, например. :-)

                                                –1

                                                А что если создать "песочницу" с кредами admin:admin и пусть боты себе балуются.
                                                Honeypot вроде назывется...

                                                  0

                                                  Да была такая одно время. Не помню уже, сколько майнилок на ней одновременно было запущено на 1 ядре :-)

                                                    0
                                                    А есть какие-то наработки/рецепты по организации «липучки»?

                                                    Можете что-нить посоветовать, чтобы она выглядела как работающая внутри сети (а иначе могут не клюнуть), но при этом не несла сама угрозу прочим при взломе?
                                                      0
                                                      Полагаю, зависит от того, что именно должно входить в понятие «выглядела как рабочая». Просто отвечала на попытки соединения по порту 3389? Можно просто взять линукс и на порт 3389 повесить что угодно (netcat, например). Но, наверное, этого недостаточно, так что можно просто взять виртуалку с Windows, посадить её в отдельную частную сеть, а между ней и основной сетью повесить шлюз, который будет только пропускать входящие соединения к ней, но не будет выпускать никаких исходящих соединений из неё. И мониторить это дело. Как-то так, возможно.
                                                        0
                                                        … посадить её в отдельную частную сеть, а между ней и основной сетью повесить шлюз, который будет только пропускать входящие соединения к ней, но не будет выпускать никаких исходящих соединений из неё. И мониторить это дело. Как-то так, возможно.

                                                        Да… хорошая идея с внутренним шлюзом. Надо подумать, как это можно реализовать. Просто роутеры SOHO-сегмента не умеют блокировать исходящий трафик. Столкнулся с этим при настройке Keenetic.
                                                        Придется брать что-то более гибкое, типа того же Mikrotik. Или брать «мыльницу», но ставить ее WANом к «липучке». А на внешнем шлюзе настраивать проброс нужных портов как раз через внутренний шлюз. Как-то так. Но только как? :D
                                                          0
                                                          Виртуализация тут как раз очень в тему: на одном и том же физическом компе поднимаются 2 виртуалки: одна — собственно, Windows, которая по сети подключена только ко второй, больше никуда, а вторая — Linux, который имеет интерфейс и во внутреннюю сеть, где первая, и во внешнюю. И там уже iptables какой-нибудь, который будет пробрасывать на Windows всё входящие соединения, а исходящие из этой внутренней сети не выпускать. И всё. :-)
                                                  0
                                                  настройки системы мониторинга, которая теперь более пристально следит за реакцией контрольной группы виртуальных серверов в нашем облаке на попытку установить RDP-подключение

                                                  Скажите, а как именно вы автоматически диагностируете работоспособность RDP-сервера?
                                                  1. Успешное подключение к TCP порту 3389 в пределах заданного таймаута — это не критерий работоспособности, увы.
                                                  2. Даже принятие правильного логина/пароля не может являться критерием (это Windows, рабочий стол может просто «висеть» без каких-либо логов в системе).
                                                    0
                                                    Поткой установить TCP-соединение мы мониторим не столько работу терминального сервера как такового, а только удостоверяемся в том, что сама служба, которая должна принять соединение, чувствует себя хорошо. Если её «задудосили», она несколько секунд (или даже минут) не может принимать новые соединения вообще и система отправляет RST. Мы на этой контрольной группе проверяем, удалось ли кому-то обойти блокировки. Поначалу, когда список фильтров только начал формироваться, время от времени мониторилка показывала, что этим серверам начинало плохеть, но в течение нескольких минут обновлялись фильтры и серверы эти попускало. Сейчас, когда отфильтровано уже много источников этого безобразия, система мониторинга, тьфу-тьфу, помалкивает.
                                                    +1
                                                    За пару часов на коленке можно написать скрипт powershell, который читает security logs и добавляет ip злоумышленника в правило windows firewall. Например вот такой serverfault.com/questions/233222/ban-ip-address-based-on-x-number-of-unsuccessful-login-attempts Конкретно у этого скрипта есть значительный недостаток — список добавленных адресов не виден в консоли Firewall, но он работает. Основное его преимущество — в такой блок лист не смогут попасть лигитимные ip и он будет работать даже если rdp на не стандартном порту.
                                                      0
                                                      Хрошее дело, спасибо. В нашем случае такое решение не подошло бы, так как требовало бы дополнительных усилий со стороны админов этих машин, которым бы пришлось этот скрипт деплоить у себя, но вообще, конечно же, штука полезная.

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                    Самое читаемое