Pull to refresh

Comments 62

Так же из личного опыта: после указания адреса в скайпе — по нему проходится поисковик бинг. Так что не удивительно что ваш сервер так быстро обнаружили, даже если раньше на этом адресе никого не было.
Скорее всего и в этом есть своя доля, но первое упоминание в скайпе было десятого января.
UFO just landed and posted this here
просто диапазоны сетей провайдерских известны, миллионы ботов перебирают их регулярно, если видят отклик на стандартных портах — начинают долбить
наверняка ещё и обмениваются списками актуальными
я обычно меняю используемые порты ssh, rdp и всё такое
По-моему было на хабре статья про то как по брошенной ссылке на ftp ресурс в скайпе тут же кто-то начинает ломиться и пытаться перебрать «стандартные» пароли.

Плюс были новости про дружбу Microsoft и NSA…
https://habrahabr.ru/post/184014/
к моему серверу подбирали пароль. хотя он вообще нигде не фигурирует. лечил сменой всех портов на нестандартные значения и огромными таймаутами при неправильном пароле.
Такая же фигня была. На только что настроенном небольшом сервачке, через минут 20 уже начались ломиться подбирать пароль для ssh и чудовищно росли логи. Причем все IP были из китая. Хз может через китайские VPN/Proxy подключались, но после того как забанил в iptables и сменил 22 порт все стало тихо.
Не стоит торопиться — через какое-то время товарищи с китайскими IP адресами доберутся и до нестандартного порта, дайте им время. Fail2ban постоянно о них напоминает.
Ладно сервер. У меня к домашнему роутеру постоянно подбирают пароль.
Чтобы не захламлять логи неудачными попытками входа, просто закрыл порты снаружи, кроме тех адресов, с которых я иногда могу зайти.
Плюс вообще забыть про пароли для SSH.
Нестандартный порт + ключи + f2b.

А если у меня пароли создаются генератором, ну типа 3d2eBfDfe1^:, его же подобрать за разумное время проблематично

В данном случае нельзя не упомянуть xkcd
UFO just landed and posted this here
Темная армия уже близко Элиот
Вы не написали, сколько писем вы отослана на abuse адреса сеток, из которых к вам ломились боты.
Они уже там. Около тысячи сообщений на каждый.
О, вы прикрутили автоматическую отсылалку на таких ботов? Не поделитесь? А то я бы прикрутил :)
Простите, неверно выразился. Они уже есть в списках, на каждый около тысячи сообщений отправлено. Не мной.
Насчёт автоматизации — так тут всё просто) Я же адреса php скриптом из логов дёрнул. Достаточно в конец воткнуть ещё генерацию письма.
Отсылать не стал поскольку не уверен в том, что всё правильно сделал, ничего не пропустил и лишнего не вписал. А раз уже все там, так и не стал сильно беспокоится.
А как вы смогли проверить abuse ящики этих сетей? К ним имеют доступ же только админы самой сети?
Я когда-то вот такую штуку мастерил Наносим удар по ddos ботнету своими силами и были вполне реальные результаты работы, на письма были реальные ответы мол «спасибо, проверим». Сложно посчитать результативность, но, если бы так поступали многие, она была бы, несомненно.
Ибо если бы провайдер получил хотя бы 2 разные абузы на один ип, это бы стало толчком к действиям.
Пока что поговорил с ними https://abuseipdb.com. Есть удобное апи для проверки и занесения
Говорят, что заносят в базу, при накопленнии достаточного количества жалоб отправляют абьюзы. Не доверять причин не вижу. Отправил сообщение им.
Ага, клевый сервис. Правда для репорта нужно вводить каптчу, а значит всех ботов незарепортить массово. Хотелось бы какое-то апи… правда при помощи ботов, туда зальют все диапазоны со сфабрикованными отчетами, что сделает всю систему бесполезной.
Не, ненужно. Там есть апи, я самых настырных пачкой переслал тут же, в несколько строчек кода.
У сервера есть только IP, о его существовании знает семь человек

Все IP известны, скорее всего боты сканят диапазоны хостеров. Ко мне иногда заходят и ищут уязвимости, хотя я его вообще нигде не светил.
PS: SSH с паролем, серьезно? Не удивительно что они ломятся :)

А с чем должен быть SSH? (я вполне серьезно спрашиваю)

Первое что делаю после создания нового сервера это добавляю ключ — https://www.digitalocean.com/community/tutorials/how-to-use-ssh-keys-with-digitalocean-droplets
Про то и разговор, что любой адрес кто-нибудь да брутфорсит и не надо думать, что ваш роутер никому не интересен. Выше в комментариях уже писали.
PS Вину осознал. Исправлюсь.)
UFO just landed and posted this here
Видимо уже пора внедрять в операционные системы как часть безопасности удалённый мониторинг активности. Если с конкретного десктопа на минимум 10 в разных точках мира серверах происходит пароль подбора, то это значит что компьютер часть ботнета. Вопрос какие дальше действие предпринимать.
Это как в психологии человека: сам о себе сказать ничего не можешь. Но если попросишь дать обратную связь о себе, — тебе это сделают легко.
Аха, а машины саппортов заносить в белые списки.
Там количество попыток подключений в минуту несравнимо с машинами бот-сети.
Вы часто с машины саппорта пароли подбираете? ;-)
Безусловно, какие-то исключения будут. Но если правильно поиграться с цифрами, то можно вывести некий шаблон.

А андроид-то в чем провинился?

UFO just landed and posted this here
Это было актуально во времена 256-512 MB RAM.
Сейчас самые дешёвые модели имеют гигабайт, середнячки — 2 ГБ, топовые — 4 и больше.
UFO just landed and posted this here
С такого андроида надо слезать, согласен :)
У сервера есть только IP, о его существовании знает семь человек и провайдер, его адрес указывался дважды в скайпе и три раза в письме.

Количество адресов IPv4 ограничено и используются не все. История вашего адреса неизвестна. Так что аргумент о неуловимом Джо, не подходит. Когда я начинал парсить сайты, мне также казалось, что придёться 4 млрд домёнов перебирать.
UFO just landed and posted this here
Насколько безопасно держать ssh на стандартном 22 с авторизацией по паролю, но пароль при этом случайный 15-значный? Подобрать его должно быть невозможно, но может еще какой-то способ атаки есть, о котором я не знаю?

А вообще да, беспечность населения в этом вопросе поражает. По работе периодически получаю от заказчиков их логины и пароли, ни разу не видел ничего сложнее, чем «реальное слово+число», причем слово обычно очевидно связано с заказчиком. При этом у многих немаленький бизнес завязан на эти аккаунты.
Насколько безопасно держать ssh на стандартном 22 с авторизацией по паролю, но пароль при этом случайный 15-значный? Подобрать его должно быть невозможно, но может еще какой-то способ атаки есть, о котором я не знаю?
С 22 порта ssh обычно переносят чтобы ботнеты логи не засоряли, и не тратили ресурсы сервера. 15 знаков — должно хватить, а если используется что-то вроде Fail2ban — то и 9 знаков обычно достаточно.
Подобрать его должно быть невозможно, но может еще какой-то способ атаки есть, о котором я не знаю?
Стоит проверить, какие службы глядят в сеть — и или заблокировать их, или периодически обновлять — если они требуются для работы. Хотя Linux от этого редко страдает, а вот Windows XP до SP2 (и младше) — страдали часто, так как встроенного брандмауэра вообще не имели, от чего все включенные службы автоматически были доступны из вне.
А вообще да, беспечность населения в этом вопросе поражает. По работе периодически получаю от заказчиков их логины и пароли, ни разу не видел ничего сложнее, чем «реальное слово+число», причем слово обычно очевидно связано с заказчиком. При этом у многих немаленький бизнес завязан на эти аккаунты.
Банальная неграмотность. Люди обычно не понимают, что пароль — это что-то на вроде «электронного паспорта»: если его найдёт мошенник, то он сможет с помощью него вести от вашего имени переписку, перевести деньги с вашего счёта (и т.п. — в зависимости от того, от чего был подобран пароль).

Кстати пересылать пароль по почте (в не зашифрованном виде) — само по себе не безопасно. Раньше — так и вообще, большинство почтовиков пересылало письма по сети в не зашифрованном виде, так что на всём сетевом оборудовании, через которое проходило письмо — его можно было «прослушать».

Создайте дефолтный сайт на WP (любая популярная CMS) и уберите модерацию|капчу коментов — ужаснетесь :)

Зашел однажды на один из таких айпишников из лога, обнаружил украинский роутер, у которого были отключены вообще все средства защиты.
Проблема реальная, но незачем разводить панику. Постепенно, когда маштабы будут расти, начнут вводить автоматизированные средства внесения в чёрные списки и информирования провайдеров о том, что с их адресов атаки, и штрафовать расхлябанных пользователей, которые игнорируют предупреждения.
Автосканирование ssh портов идет уже давно, несколько нет, не понимаю в чем проблема.
Проблема в том, что вы не видите в этом проблемы. А также в том, что большинство людей знает, что не надо пить воду из лужи, но не знает, почему пароль 123 плохо.
Естессно, боты сканят такие вкусные порты диапазонами. И где найдут — начинают брутить.
У меня на одном сервере тоже пухли логи попыток подключения по ssh. Вылечилось перевешиванием его на другой порт. И тишина.
Смена порта SSH уже 10 лет работает как часы.
Боты тупо сканят порты, кладут тебя в список, а потом спустя какое то время начинается ад.
Работает смена портов как часы по одной причине, смысла брутить такие серваки особо нету. Думаю выхлоп от них на порядки ниже по нескольким причинам.

Первое — затраты на сканирование хоста по даже типовым портам на который перевешивают выше.
Второе — если человек уже парится сменой порта, то с высокой вероятностью он и о безопасности задумывается
Хостю на своем домашнем железе домен одной областной спортивной федерации, уже несколько лет.
На роутере ssh, на файлопомойке за роутером — ssh, проброшенный через роутер.

Наколхозены скрипты, которые отправляют email при удачном/неудачном логине существующего на устройстве пользователя. Вот прям почти как параноик приготовился.

За несколько лет ни одного коннекта к ssh.
Секрет успеха: ssh на нестандартных портах. Точка.

Если найдутся энтузиасты среди ботов, то еще есть port knocking, который пока по статистике коннектов не вижу смысла использовать…
Ну и fail2ban для контрольного выстрела.
А на сладкое — коннект только по ключам.

Скажите, доктор, я не параноик?
Наоборот, очень даже :) тоже везде авторассылка и SSH.
Совершенно необязательно, чтобы ваш адрес где-то когда-то публиковался. Например, ZMap еще когда его анонсировали пять лет назад, мог просканировать всё пространство ipv4 адресов за 45 минут. Сейчас, судя по уверениям на сайте, достаточно 5 минут и 10-гигабитного подключения.

Не вижу в этом проблемы, просто нужно понимать, что такое публичный доступ, и не надеяться на то, что этим доступом никто не воспользуется. И понимать это должны в первую очередь производители, поскольку большинство пользователей воспринимают всё связанное с компьютерами как магию, совершенно не представляют как оно работает и не имеют ни малейшего желания понимать.
UFO just landed and posted this here
Как то статья была то ли на хабре, то ли тут. Команда хакеров взламывала/искали устройства с старыми прошивками, дефолтными паролями и обновляла их и дыры закрывали.
Кто же вам запретит.
Но делайте соблюдая строго анонимность, иначе за вами прийдут.
Тк букву закона вы нарушаете.
Прецедент уже был, помню кто то при эпидемии червя заражающего какую то БД через имевшуюся тогда дырку, написал своего червя который вламывался везде и ставил патч.
Человек сделал это публично не скрываясь, на него был наезд, чем закончилось и был ли суд не помню.

Это противоправная деятельность.
Ставим joomla, разрешаем регистрацию нового пользователя через письмо в почте (т.е. надо при регистрации указать мыло, получить на это мыло письмо, нажать ссылку). Через 1 неделю работы сайта (до него даже поисковики не добрались, гм....) получаем 5-10 новых регистраций в день всякого мусора (логин бред, мыло бред).
344000 попыток (больше, чем указано в статье) — это раз в секунду в течении 4 суток. Если рассматривать месяц (30 суток), одна попытка в 7-8 секунд. С такой частотой справился бы единственный хост, если предположить, что вы используете стандартные таймеры и не используете «серые» списки.

Одна авторизация SSH имеет порядок 1 килобайта (порядок, не точный размер) — это порядок (уменьшаем точность дальше) 10 килобит. Для вашего случая с месяцем — в 7,5 раз меньше, порядок — килобит/сек. Пожалуй, если вами заинтересуется в сто раз больше хостов, вы почувствуете некоторое проседание полосы и некоторый рост процессорной нагрузки. Единственная опасность — заполнение раздела логами доступа (у вас же они сжимаются и авторотируются, так что вам это не страшно).

Какое распределение адрес хоста/число попыток? Даже если основная масса =2, вы выиграете от изменения
pam_faildelay.

Зачем вы распечатываете логи 12-ым шрифтом? Попробуйте восьмёрку.
Sign up to leave a comment.

Articles