Pokus o utok na mikrotik, ako zakazat IP utocnika

[iTomB]

Pomerne jednoduse

Minimalni doba je 20s maximalni 80s a pak ma smolika.

Uzasne THx za to... jeste dotaz - neslo by nejak udelat aby ten co se dostane do blacklistu tam byl naporad, jelikoz sleduji ze po nejake dobe (10sec) se blacklist smaze.....

Nevim co tim myslis
add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp src-address-list=stage4 address-list=sshdrop address-list-timeout=0s comment="" disabled=no

timeout 0 = trvale ty stage maj 20s

BTW: staci u toho premyslet
jiank IP co jsem nalovil za par dni
193.136.205.1
199.216.35.5
86.127.121.5
219.94.154.39
89.108.80.142
87.234.235.185
218.200.169.234
222.35.2.98
195.64.128.249
194.79.71.165
Par z nemecka nektere z ruska rumunska a zbytek sem na ripe nenasel a nechce se mi to hledat v souboru zemi

[net.work]

Pomerne jednoduse

Minimalni doba je 20s maximalni 80s a pak ma smolika.

Uzasne THx za to... jeste dotaz - neslo by nejak udelat aby ten co se dostane do blacklistu tam byl naporad, jelikoz sleduji ze po nejake dobe (10sec) se blacklist smaze.....

Nevim co tim myslis
add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp src-address-list=stage4 address-list=sshdrop address-list-timeout=0s comment="" disabled=no

timeout 0 = trvale ty stage maj 20s

BTW: staci u toho premyslet
jiank IP co jsem nalovil za par dni
193.136.205.1
199.216.35.5
86.127.121.5
219.94.154.39
89.108.80.142
87.234.235.185
218.200.169.234
222.35.2.98
195.64.128.249
194.79.71.165
Par z nemecka nektere z ruska rumunska a zbytek sem na ripe nenasel a nechce se mi to hledat v souboru zemi

mno nevim jak tobe, ale me se ty IP, ktere se dostanou do blacklistu mazou po chvili......... prave proto sem se ptal...

[iTomB]

Divny me to jede normalne. Z sshdrop jsem vypisoval IP. Mrkni se zda ti jede v tve verzi ROS timeout.

[omicron]

jejda mě se tam taky snaží dostat 211.154.164.109

Jo tenhle cáklej Japonec se tím asi baví. Nám zkoušel prolomit debiana.

[iTomB]

Trosku se sem panove vratim z jednoho duleziteho duvodu. Zjistil jsem ze na jeden z linux serveru je zvyseny pocet pokusu o SSH pristup (samozrejme s neuspechem). Jen je to jine a tenhle script by vam moc nepomohl. Za 2.5 dne jsou utoky z cca 3500 ruznych IP adres. Pulka utoku ma pod 4 pokusy na IP. Diky tomu ze tam jsou i ceske, tak jsem zkusil jednu firmu kontaktovat a nahodou se dohledala zajimava vec. Meli napadenej linux server, kde jim bezel demon, ktery zkousel utoky na SSH, HTTP a hlidal klavesnici. Do serveru se dostal pres hylafax dne 2.1.2010. Byl ulozen v /tmp s nazvama a bezel s pravama FAX:
slowdhttp
ssh_scan_kbd_dt

a nejspis NICK daneho hackera je: darghs5ywhgrt

Kdyz vynecham prvnich par nejvice se opakujicich IP, tak maximalni pocet utoku z 1 IP je 15 a takovychto ruznych IP je pres 3000. Vetsina klasickych utoku je z 1 IP desitky testu (takovou tam mam tez 1). Kdyz vemu ten script, tak ten ma 4 mozne pokusy a pak BAN. Z meho senzamu by to platilo jen na cca 300 IP. Zbytek by prosel (behem 2.5 dne). Jedna se o distribuovane utoky.

Zkuste se na to podivat. Mezi nimi je treba mail.rapidnet.cz . Jeden z nas a ma zavirovanej LINUX .

[iTomB]

Dalsi dodatek:
Vcera v 16:13 jsem udelal blokaci vsech spojeni SSH s LOGem (krom mych IP). V LOGu je 417 pokusu. Cca 1h po blokaci to dost skoncilo a nasledne to bylo jen 14 pokusu a posledni byl kolem 4h rano. Takze za 1h to bylo 400 utoku z ruznych IP adres.

[netko]

Měl jsem podobný problém. Vždy, když jsem IP zakázal, začal zkoušet z jiné IP. Zakazováním jsem se dopracoval k cca 20 zakázaným IP. Zkoušel porty 21,22,23,80. Ve firewallu jsem zakázal přístup na uvedené porty z venku a je po problému. Zakázal jsem i ping na moji IP z venku a pak ho to přestalo bavit. Mám to takhle nastaveno téměř měsíc a vše OK. Není to asi to pravé, ale jako "první pomoc" to stačí.

ahoj mozes prosim napisat ako zakazem ping aby ma robot nepingol