Pokus o utok na mikrotik, ako zakazat IP utocnika

Nestačilo by řadit to obráceneně? Od blacklistu po Stage1. Takhle se hned postupně plní všechny podmínky a je to hned blacklist.

Nestačilo by řadit to obráceneně? Od blacklistu po Stage1. Takhle se hned postupně plní všechny podmínky a je to hned blacklist.

mno, vyzkousim to a napisu - dik za tip tohle me vubec nenapadlo... presne tak vsechny skupiny se plnili zaroven vc blacklistu, takze to nebylo funkcni

takze ani jine preskupeni pravidel nepomohlo... myslim ze problem je v policku content, coz by dle MT manualu melo byt toto: content (text) - the text packets should contain in order to match the rule

ovsem netusim co je napsano v packetu ktery se vraci zpet s chybovou hlaskou ......

Na zkoušku jsem to nastavil a maká to, když se to dá obráceně. Čtyři pokusy a šmitec.

Takhle jsem to měl:

179 ;;; auto-firewall ftp - stage 5

chain=output content=530 Login incorrect dst-address-list=ftp_stage4 action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=1w

180 ;;; auto-firewall ftp - stage 4

chain=output content=530 Login incorrect dst-address-list=ftp_stage3 action=add-dst-to-address-list address-list=ftp_stage4 address-list-timeout=1m

181 ;;; auto-firewall ftp - stage 3

chain=output content=530 Login incorrect dst-address-list=ftp_stage2 action=add-dst-to-address-list address-list=ftp_stage3 address-list-timeout=1m

182 ;;; auto-firewall ftp - stage 2

chain=output content=530 Login incorrect dst-address-list=ftp_stage1 action=add-dst-to-address-list address-list=ftp_stage2 address-list-timeout=1m

183 ;;; auto-firewall ftp - stage 1

chain=input in-interface=ether1 protocol=tcp dst-port=21 action=add-src-to-address-list address-list=ftp_stage1 address-list-timeout=1m

184 ;;; drop ftp brute forcers

chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop

Na zkoušku jsem to nastavil a maká to, když se to dá obráceně. Čtyři pokusy a šmitec.

Takhle jsem to měl:

179 ;;; auto-firewall ftp - stage 5

chain=output content=530 Login incorrect dst-address-list=ftp_stage4 action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=1w

180 ;;; auto-firewall ftp - stage 4

chain=output content=530 Login incorrect dst-address-list=ftp_stage3 action=add-dst-to-address-list address-list=ftp_stage4 address-list-timeout=1m

181 ;;; auto-firewall ftp - stage 3

chain=output content=530 Login incorrect dst-address-list=ftp_stage2 action=add-dst-to-address-list address-list=ftp_stage3 address-list-timeout=1m

182 ;;; auto-firewall ftp - stage 2

chain=output content=530 Login incorrect dst-address-list=ftp_stage1 action=add-dst-to-address-list address-list=ftp_stage2 address-list-timeout=1m

183 ;;; auto-firewall ftp - stage 1

chain=input in-interface=ether1 protocol=tcp dst-port=21 action=add-src-to-address-list address-list=ftp_stage1 address-list-timeout=1m

184 ;;; drop ftp brute forcers

chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop

mno mne to nefungovalo zrejme asi proto ze sem to predelal na SSH (port 22)... Nevíte někdo co napsat do content abych uplně stejným způsobem ošetřil přístup přes ssh? děkuji

mno mne to nefungovalo zrejme asi proto ze sem to predelal na SSH (port 22)... Nevíte někdo co napsat do content abych uplně stejným způsobem ošetřil přístup přes ssh? děkuji

Na SSH to nejde, protože je to šifrované a tím pádem MT žádný content nepřečte.

mno mne to nefungovalo zrejme asi proto ze sem to predelal na SSH (port 22)... Nevíte někdo co napsat do content abych uplně stejným způsobem ošetřil přístup přes ssh? děkuji

Na SSH to nejde, protože je to šifrované a tím pádem MT žádný content nepřečte.

HMM, to me nenapadlo :-( a jak tedy osetrit ssh nejaky podobnym zpusobem @la 5 pokusy a dost?

dik

Hej moc dik, funguje skvele.

Pomerne jednoduse

/ ip firewall filter

add chain=input action=accept connection-state=new dst-port=22 protocol=tcp src-address-list=sshaccept comment="" disabled=no

add chain=input action=drop connection-state=new dst-port=22 protocol=tcp src-address-list=sshdrop comment="" disabled=no

add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp src-address-list=stage4 address-list=sshdrop address-list-timeout=0s comment="" disabled=no

add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp src-address-list=stage3 address-list=stage4 address-list-timeout=20s comment="" disabled=no

add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp src-address-list=stage2 address-list=stage3 address-list-timeout=20s comment="" disabled=no

add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp src-address-list=stage1 address-list=stage2 address-list-timeout=20s comment="" disabled=no

add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp address-list=stage1 address-list-timeout=20s comment="" disabled=no

Minimalni doba je 20s maximalni 80s a pak ma smolika.

Uzasne ;) THx za to... jeste dotaz - neslo by nejak udelat aby ten co se dostane do blacklistu tam byl naporad, jelikoz sleduji ze po nejake dobe (10sec) se blacklist smaze.....

Pomerne jednoduse

Minimalni doba je 20s maximalni 80s a pak ma smolika.

Uzasne ;) THx za to... jeste dotaz - neslo by nejak udelat aby ten co se dostane do blacklistu tam byl naporad, jelikoz sleduji ze po nejake dobe (10sec) se blacklist smaze.....

Nevim co tim myslis

add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp src-address-list=stage4 address-list=sshdrop address-list-timeout=0s comment="" disabled=no

timeout 0 = trvale ty stage maj 20s ;)

BTW: staci u toho premyslet ;)

jiank IP co jsem nalovil za par dni :-)

193.136.205.1

199.216.35.5

86.127.121.5

219.94.154.39

89.108.80.142

87.234.235.185

218.200.169.234

222.35.2.98

195.64.128.249

194.79.71.165

Par z nemecka nektere z ruska rumunska a zbytek sem na ripe nenasel a nechce se mi to hledat v souboru zemi :-)

Pomerne jednoduse

Minimalni doba je 20s maximalni 80s a pak ma smolika.

Uzasne ;) THx za to... jeste dotaz - neslo by nejak udelat aby ten co se dostane do blacklistu tam byl naporad, jelikoz sleduji ze po nejake dobe (10sec) se blacklist smaze.....

Nevim co tim myslis

add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp src-address-list=stage4 address-list=sshdrop address-list-timeout=0s comment="" disabled=no

timeout 0 = trvale ty stage maj 20s ;)

BTW: staci u toho premyslet ;)

jiank IP co jsem nalovil za par dni :-)

193.136.205.1

199.216.35.5

86.127.121.5

219.94.154.39

89.108.80.142

87.234.235.185

218.200.169.234

222.35.2.98

195.64.128.249

194.79.71.165

Par z nemecka nektere z ruska rumunska a zbytek sem na ripe nenasel a nechce se mi to hledat v souboru zemi :-)

mno nevim jak tobe, ale me se ty IP, ktere se dostanou do blacklistu mazou po chvili......... prave proto sem se ptal...

Divny me to jede normalne. Z sshdrop jsem vypisoval IP. Mrkni se zda ti jede v tve verzi ROS timeout.

jejda mě se tam taky snaží dostat 211.154.164.109 :-)

Jo tenhle cáklej Japonec se tím asi baví. Nám zkoušel prolomit debiana.

Trosku se sem panove vratim z jednoho duleziteho duvodu. Zjistil jsem ze na jeden z linux serveru je zvyseny pocet pokusu o SSH pristup (samozrejme s neuspechem). Jen je to jine a tenhle script by vam moc nepomohl. Za 2.5 dne jsou utoky z cca 3500 ruznych IP adres. Pulka utoku ma pod 4 pokusy na IP. Diky tomu ze tam jsou i ceske, tak jsem zkusil jednu firmu kontaktovat a nahodou se dohledala zajimava vec. Meli napadenej linux server, kde jim bezel demon, ktery zkousel utoky na SSH, HTTP a hlidal klavesnici. Do serveru se dostal pres hylafax dne 2.1.2010. Byl ulozen v /tmp s nazvama a bezel s pravama FAX:

slowdhttp

ssh_scan_kbd_dt

a nejspis NICK daneho hackera je: darghs5ywhgrt

Kdyz vynecham prvnich par nejvice se opakujicich IP, tak maximalni pocet utoku z 1 IP je 15 a takovychto ruznych IP je pres 3000. Vetsina klasickych utoku je z 1 IP desitky testu (takovou tam mam tez 1). Kdyz vemu ten script, tak ten ma 4 mozne pokusy a pak BAN. Z meho senzamu by to platilo jen na cca 300 IP. Zbytek by prosel (behem 2.5 dne). Jedna se o distribuovane utoky.

Zkuste se na to podivat. Mezi nimi je treba mail.rapidnet.cz . Jeden z nas a ma zavirovanej LINUX .

Dalsi dodatek:

Vcera v 16 jsem udelal blokaci vsech spojeni SSH s LOGem (krom mych IP). V LOGu je 417 pokusu. Cca 1h po blokaci to dost skoncilo a nasledne to bylo jen 14 pokusu a posledni byl kolem 4h rano. Takze za 1h to bylo 400 utoku z ruznych IP adres.

Měl jsem podobný problém. Vždy, když jsem IP zakázal, začal zkoušet z jiné IP. Zakazováním jsem se dopracoval k cca 20 zakázaným IP. Zkoušel porty 21,22,23,80. Ve firewallu jsem zakázal přístup na uvedené porty z venku a je po problému. Zakázal jsem i ping na moji IP z venku a pak ho to přestalo bavit. Mám to takhle nastaveno téměř měsíc a vše OK. Není to asi to pravé, ale jako "první pomoc" to stačí.

ahoj mozes prosim napisat ako zakazem ping aby ma robot nepingol