Pokus o utok na mikrotik, ako zakazat IP utocnika

Pomerne jednoduse

/ ip firewall filter

add chain=input action=accept connection-state=new dst-port=22 protocol=tcp src-address-list=sshaccept comment="" disabled=no

add chain=input action=drop connection-state=new dst-port=22 protocol=tcp src-address-list=sshdrop comment="" disabled=no

add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp src-address-list=stage4 address-list=sshdrop address-list-timeout=0s comment="" disabled=no

add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp src-address-list=stage3 address-list=stage4 address-list-timeout=20s comment="" disabled=no

add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp src-address-list=stage2 address-list=stage3 address-list-timeout=20s comment="" disabled=no

add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp src-address-list=stage1 address-list=stage2 address-list-timeout=20s comment="" disabled=no

add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp address-list=stage1 address-list-timeout=20s comment="" disabled=no

Minimalni doba je 20s maximalni 80s a pak ma smolika.

Uzasne ;) THx za to... jeste dotaz - neslo by nejak udelat aby ten co se dostane do blacklistu tam byl naporad, jelikoz sleduji ze po nejake dobe (10sec) se blacklist smaze.....

Pomerne jednoduse

Minimalni doba je 20s maximalni 80s a pak ma smolika.

Uzasne ;) THx za to... jeste dotaz - neslo by nejak udelat aby ten co se dostane do blacklistu tam byl naporad, jelikoz sleduji ze po nejake dobe (10sec) se blacklist smaze.....

Nevim co tim myslis

add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp src-address-list=stage4 address-list=sshdrop address-list-timeout=0s comment="" disabled=no

timeout 0 = trvale ty stage maj 20s ;)

BTW: staci u toho premyslet ;)

jiank IP co jsem nalovil za par dni :-)

193.136.205.1

199.216.35.5

86.127.121.5

219.94.154.39

89.108.80.142

87.234.235.185

218.200.169.234

222.35.2.98

195.64.128.249

194.79.71.165

Par z nemecka nektere z ruska rumunska a zbytek sem na ripe nenasel a nechce se mi to hledat v souboru zemi :-)

Pomerne jednoduse

Minimalni doba je 20s maximalni 80s a pak ma smolika.

Uzasne ;) THx za to... jeste dotaz - neslo by nejak udelat aby ten co se dostane do blacklistu tam byl naporad, jelikoz sleduji ze po nejake dobe (10sec) se blacklist smaze.....

Nevim co tim myslis

add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp src-address-list=stage4 address-list=sshdrop address-list-timeout=0s comment="" disabled=no

timeout 0 = trvale ty stage maj 20s ;)

BTW: staci u toho premyslet ;)

jiank IP co jsem nalovil za par dni :-)

193.136.205.1

199.216.35.5

86.127.121.5

219.94.154.39

89.108.80.142

87.234.235.185

218.200.169.234

222.35.2.98

195.64.128.249

194.79.71.165

Par z nemecka nektere z ruska rumunska a zbytek sem na ripe nenasel a nechce se mi to hledat v souboru zemi :-)

mno nevim jak tobe, ale me se ty IP, ktere se dostanou do blacklistu mazou po chvili......... prave proto sem se ptal...

Divny me to jede normalne. Z sshdrop jsem vypisoval IP. Mrkni se zda ti jede v tve verzi ROS timeout.

jejda mě se tam taky snaží dostat 211.154.164.109 :-)

Jo tenhle cáklej Japonec se tím asi baví. Nám zkoušel prolomit debiana.

Trosku se sem panove vratim z jednoho duleziteho duvodu. Zjistil jsem ze na jeden z linux serveru je zvyseny pocet pokusu o SSH pristup (samozrejme s neuspechem). Jen je to jine a tenhle script by vam moc nepomohl. Za 2.5 dne jsou utoky z cca 3500 ruznych IP adres. Pulka utoku ma pod 4 pokusy na IP. Diky tomu ze tam jsou i ceske, tak jsem zkusil jednu firmu kontaktovat a nahodou se dohledala zajimava vec. Meli napadenej linux server, kde jim bezel demon, ktery zkousel utoky na SSH, HTTP a hlidal klavesnici. Do serveru se dostal pres hylafax dne 2.1.2010. Byl ulozen v /tmp s nazvama a bezel s pravama FAX:

slowdhttp

ssh_scan_kbd_dt

a nejspis NICK daneho hackera je: darghs5ywhgrt

Kdyz vynecham prvnich par nejvice se opakujicich IP, tak maximalni pocet utoku z 1 IP je 15 a takovychto ruznych IP je pres 3000. Vetsina klasickych utoku je z 1 IP desitky testu (takovou tam mam tez 1). Kdyz vemu ten script, tak ten ma 4 mozne pokusy a pak BAN. Z meho senzamu by to platilo jen na cca 300 IP. Zbytek by prosel (behem 2.5 dne). Jedna se o distribuovane utoky.

Zkuste se na to podivat. Mezi nimi je treba mail.rapidnet.cz . Jeden z nas a ma zavirovanej LINUX .

Dalsi dodatek:

Vcera v 16 jsem udelal blokaci vsech spojeni SSH s LOGem (krom mych IP). V LOGu je 417 pokusu. Cca 1h po blokaci to dost skoncilo a nasledne to bylo jen 14 pokusu a posledni byl kolem 4h rano. Takze za 1h to bylo 400 utoku z ruznych IP adres.

Měl jsem podobný problém. Vždy, když jsem IP zakázal, začal zkoušet z jiné IP. Zakazováním jsem se dopracoval k cca 20 zakázaným IP. Zkoušel porty 21,22,23,80. Ve firewallu jsem zakázal přístup na uvedené porty z venku a je po problému. Zakázal jsem i ping na moji IP z venku a pak ho to přestalo bavit. Mám to takhle nastaveno téměř měsíc a vše OK. Není to asi to pravé, ale jako "první pomoc" to stačí.

ahoj mozes prosim napisat ako zakazem ping aby ma robot nepingol

Tak to áno a hlavne ako prvé pravidlo