Идет постоянная подборка пароля через ssh

Базовая функциональность RouterOS
G12R
Сообщения: 16
Зарегистрирован: 14 апр 2020, 17:25

Идет постоянная подборка пароля через ssh

Сообщение G12R »

На мой роутер идет постоянный подбор пароля по SSH.
Для хоть какойто защиты против этого был введена команда блокировки в Firewall:
/ip firewall filter

add action=jump chain=input comment="sshbruteforces chain" connection-state=\
new dst-port=22 jump-target=sshbruteforces protocol=tcp
add action=drop chain=sshbruteforces comment="drop ssh brute forcers" \
src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=sshbruteforces connection-state=new \
src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=sshbruteforces connection-state=new \
src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=sshbruteforces connection-state=new \
src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=sshbruteforces connection-state=new
add chain=sshbruteforces dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" disabled=\
no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add chain=sshbruteforces dst-port=22 protocol=tcp connection-state=new
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist

Вот как меня ломают в терминале:

(27 messages not shown)
aug/12/2022 23:15:49 system,error,critical login failure for user root from 208.67
.105.35 via ssh
aug/12/2022 23:15:51 system,error,critical login failure for user root from 208.67
.105.35 via ssh
aug/12/2022 23:15:53 system,error,critical login failure for user root from 208.67
.105.35 via ssh
aug/12/2022 23:57:00 system,error,critical login failure for user anonymous from 3
4.78.6.216 via ftp
aug/12/2022 23:57:28 system,error,critical login failure for user admin from 167.1
72.46.104 via ssh
aug/12/2022 23:57:28 system,error,critical login failure for user root from 167.17
2.46.104 via ssh
aug/13/2022 00:54:44 system,error,critical login failure for user admin from 113.6
1.219.237 via ssh
aug/13/2022 01:01:13 system,error,critical login failure for user root from 61.218
.134.63 via ssh
01:48:23 echo: system,error,critical login failure for user admin from 14.50.131.3
6 via ssh

Вообщем этот гад заходит через впн и скрипт его блокирует. У меня за 2 дня уже 41 ip заблокирован. Можно конечно порт сменить ssh но как я понял это не особо может помоч.
Я не особо понял описание как используется SSH. Меня по локалке ломают или это както пытаются напрямую к роутеру подключится.
G12R
Сообщения: 16
Зарегистрирован: 14 апр 2020, 17:25

Re: Идет постоянная подборка пароля через ssh

Сообщение G12R »

Плиз помогите заблокировать хакера. Он уже по ftp меня ломает и ip с которого происходит взлом уже в черном списке. Вот с терминала строчка:
18:58:20 echo: system,error,critical login failure for user user from 173.185.114.16 via ftp
Аватара пользователя
Sir_Prikol
Сообщения: 548
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Идет постоянная подборка пароля через ssh

Сообщение Sir_Prikol »

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward comment="1.1. Forward and Input Established and Related connections" connection-state=established,related in-interface-list=iNET
add action=drop chain=forward connection-state=invalid in-interface-list=iNET
add action=accept chain=input connection-state=established,related in-interface-list=iNET
add action=drop chain=input connection-state=invalid in-interface-list=iNET
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=iNET
add action=jump chain=forward comment="1.2. DDoS Protect - SYN Flood" connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=iNET jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=2k,5:packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new in-interface-list=iNET protocol=tcp tcp-flags=syn
add action=reject chain=input comment="1.3. Protected - Ports Scanners" in-interface-list=iNET reject-with=icmp-network-unreachable src-address-list=zz_xPORT_SCANNER
add action=add-src-to-address-list address-list=zz_xPORT_SCANNER address-list-timeout=4w2d chain=input in-interface-list=iNET protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=zz_xPORT_SCANNER address-list-timeout=2w1d chain=forward in-interface-list=iNET protocol=tcp psd=21,3s,3,1
add action=reject chain=input comment="1.4. Protected - FTP Access" dst-port=21 in-interface-list=iNET protocol=tcp reject-with=icmp-network-unreachable src-address-list=zz_xFTP_BLOCK
add action=add-src-to-address-list address-list=zz_xFTP_BLOCK address-list-timeout=4w2d chain=input connection-state=new dst-port=21 in-interface-list=iNET protocol=tcp src-address-list=zzz_FTP_stage3
add action=add-src-to-address-list address-list=zzz_FTP_stage3 address-list-timeout=3m chain=input connection-state=new dst-port=21 in-interface-list=iNET protocol=tcp src-address-list=zzz_FTP_stage2
add action=add-src-to-address-list address-list=zzz_FTP_stage2 address-list-timeout=2m chain=input connection-state=new dst-port=21 in-interface-list=iNET protocol=tcp src-address-list=zzz_FTP_stage1
add action=add-src-to-address-list address-list=zzz_FTP_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=21 in-interface-list=iNET protocol=tcp
add action=accept chain=input dst-port=21 in-interface-list=iNET protocol=tcp
add action=reject chain=input comment="1.5. Protected - SSH Access" dst-port=22 in-interface-list=iNET protocol=tcp reject-with=icmp-network-unreachable src-address-list=zz_xSSH_BLOCK
add action=add-src-to-address-list address-list=zz_xSSH_BLOCK address-list-timeout=4w2d chain=input connection-state=new dst-port=22 in-interface-list=iNET protocol=tcp src-address-list=zzz_SSH_stage3
add action=add-src-to-address-list address-list=zzz_SSH_stage3 address-list-timeout=3m chain=input connection-state=new dst-port=22 in-interface-list=iNET protocol=tcp src-address-list=zzz_SSH_stage2
add action=add-src-to-address-list address-list=zzz_SSH_stage2 address-list-timeout=2m chain=input connection-state=new dst-port=22 in-interface-list=iNET protocol=tcp src-address-list=zzz_SSH_stage1
add action=add-src-to-address-list address-list=zzz_SSH_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 in-interface-list=iNET protocol=tcp
add action=accept chain=input dst-port=22 in-interface-list=iNET protocol=tcp
add action=reject chain=input comment="1.6. Protected - RDP Access" dst-port=3389 in-interface-list=iNET protocol=tcp reject-with=icmp-network-unreachable src-address-list=zz_xRDP_BLOCK
add action=add-src-to-address-list address-list=zz_xRDP_BLOCK address-list-timeout=4w2d chain=input connection-state=new dst-port=3389 in-interface-list=iNET protocol=tcp src-address-list=zzz_RDP_stage3
add action=add-src-to-address-list address-list=zzz_RDP_stage3 address-list-timeout=3m chain=input connection-state=new dst-port=3389 in-interface-list=iNET protocol=tcp src-address-list=zzz_RDP_stage2
add action=add-src-to-address-list address-list=zzz_RDP_stage2 address-list-timeout=2m chain=input connection-state=new dst-port=3389 in-interface-list=iNET protocol=tcp src-address-list=zzz_RDP_stage1
add action=add-src-to-address-list address-list=zzz_RDP_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=3389 in-interface-list=iNET protocol=tcp
add action=accept chain=input dst-port=3389 in-interface-list=iNET protocol=tcp
add action=reject chain=input comment="1.7. Protected - WinBox Access" dst-port=8291 in-interface-list=iNET protocol=tcp reject-with=icmp-network-unreachable src-address-list=zz_xWinBox_BLOCK
add action=add-src-to-address-list address-list=zz_xWinBox_BLOCK address-list-timeout=4w2d chain=input connection-state=new dst-port=8291 in-interface-list=iNET protocol=tcp src-address-list=zzz_WinBox_stage3
add action=add-src-to-address-list address-list=zzz_WinBox_stage3 address-list-timeout=3m chain=input connection-state=new dst-port=8291 in-interface-list=iNET protocol=tcp src-address-list=zzz_WinBox_stage2
add action=add-src-to-address-list address-list=zzz_WinBox_stage2 address-list-timeout=2m chain=input connection-state=new dst-port=8291 in-interface-list=iNET protocol=tcp src-address-list=zzz_WinBox_stage1
add action=add-src-to-address-list address-list=zzz_WinBox_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=iNET protocol=tcp
add action=accept chain=input dst-port=8291 in-interface-list=iNET protocol=tcp
add action=accept chain=input comment="1.8. Access Normal Ping" in-interface-list=iNET limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment="9.9. Drop All Other" in-interface-list=iNET



Будет блочить на определённое время в автоматическом режиме.

Время можно самому сделать, ну и, естественно, сделано через интерфейслисты. Аплинк должен находится в нём.

Можно через RAW, но там есть некоторые нюансы.
У еня, при таком раскладе, собирает около 5K айпишников за месяц, поэтому ротация
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3526
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Идет постоянная подборка пароля через ssh

Сообщение Chupaka »

А я просто отключаю доступ к SSH из Интернета. Он вам действительно нужен? :)

З.Ы. Ломает вас куча разных "людей", подозреваю. Это обычные сканеры, которые перебирают на доступных ресурсах стандартные пары "логин-пароль", чтобы вырастить ферму подконтрольных роутеров.
G12R
Сообщения: 16
Зарегистрирован: 14 апр 2020, 17:25

Re: Идет постоянная подборка пароля через ssh

Сообщение G12R »

1)Насчет людей подбирающих, может и людей но мне так кажется это тех которых уже ломанули и скрипт подбора на роутере стоит, хотя я не знаю можноли не на микротике скрипт сделать подбора. Не все ведь поменяли стартовый пароль на роутере.
2)У меня подключен статический ip адрес и вначале подуал на него(ктото узнал его) но сегодня через прова сменил айпишник а взлом продолжается а значит провайдерский статический айпишник тут непричем или его смогли както узнать. У меня просто на самом роутере включен DOH от клодфейр и трафик ведь шифруется по крайней мере на компьютерах а на смарте уже шифрование не работает.
Chupaka Ответь пожалуйста, хотябы предположи ты ведь лучше понимаеш наш роутер, откуда кроме статики меня могут ломать или я прав по 1 пункту. Взлом врятли прекратится но хотябы знать откуда эта зараза лезет.
Если я через winbox захожу, для настройки роутера используется для входа ssh или нет. ftp пользуюсь редко но всетаки использую и не знаю стоитли его отключать. web профиль в последнии дни начал тоже появлятся в терминале. Если на 1 два у меня ip подборщики помещаются в одну кучу(ssh_blacklist)то то что делать с web профилем я даже не знаю.
Sir_Pricol Спасибо за скрипт. Я смотрю ты все что только можно там позакрывал. Скрипт скопировал но попробую его в действии позже.
Аватара пользователя
Sir_Prikol
Сообщения: 548
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Идет постоянная подборка пароля через ssh

Сообщение Sir_Prikol »

Как раз не всё, это защита от сканеров. Вас не ломают, вас сканируют - это нормально. Смена айпишника не поможет. В этих ваших интернетах, сканнеров хоть ж...ой трескай :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3526
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Идет постоянная подборка пароля через ssh

Сообщение Chupaka »

winbox - это не ssh. Закрывайте доступ из Интернета и подключайтесь из локалки или VPN - и будет вам счастье. Что-то типа такого:

/ip firewall filter add chain=input connection-state=new in-interface-list=WAN (если там актуальная информация) action=drop
G12R
Сообщения: 16
Зарегистрирован: 14 апр 2020, 17:25

Re: Идет постоянная подборка пароля через ssh

Сообщение G12R »

Chupaka спасибо за последнее правило так как оно помогло и блокирует запросы через web на роутер но я иногда захожу через смартфон и это правило доступ блокирует. Все меня ломают только по web. Хочу собрать по возможности все адреса подборщиков и где нибудь выложить их.
Внес правило 'Honeypot" и полетели куча ip адресов. Можно внести 80 порт в данное правило и так собирать еще больше адресов. А вдруг забуду отключить порт из правила и в бан улечу. У меня уже за 3 дня собрало данное правило почти 1500 адресов. Может можно както обезопасить себя и правило внести в файрвол. В верхнем правиле которое я указал выше с помощью тестов выяснил что при неправильном пароле, через винбокс информация о неправильном пароле появляется в терминале но при этом адрес не помещается при первых 2 ошибках в адрес лист. Может можно что нибудь для "Honeypot" по аналогии вписать для защиты.
wan
Сообщения: 81
Зарегистрирован: 20 авг 2017, 13:43

Re: Идет постоянная подборка пароля через ssh

Сообщение wan »

G12R писал(а): 29 авг 2022, 19:28 Chupaka спасибо за последнее правило так как оно помогло и блокирует запросы через web на роутер но я иногда захожу через смартфон и это правило доступ блокирует. Все меня ломают только по web. Хочу собрать по возможности все адреса подборщиков и где нибудь выложить их.
Внес правило 'Honeypot" и полетели куча ip адресов. Можно внести 80 порт в данное правило и так собирать еще больше адресов. А вдруг забуду отключить порт из правила и в бан улечу. У меня уже за 3 дня собрало данное правило почти 1500 адресов. Может можно както обезопасить себя и правило внести в файрвол. В верхнем правиле которое я указал выше с помощью тестов выяснил что при неправильном пароле, через винбокс информация о неправильном пароле появляется в терминале но при этом адрес не помещается при первых 2 ошибках в адрес лист. Может можно что нибудь для "Honeypot" по аналогии вписать для защиты.
1. не мучайте себе голову и отключите все сервисы кроме winbox: ip service disable ***
2. с телефона для доступа к микроту используйте приложение, а не web и будет вам счастье
3. вот поправленый ваш список правил, что бы сканировщики улетали в блок на временной интервал, всех вы не отловите, они меняют адреса:

Код: Выделить всё

/ip firewall filter
add action=log chain=log disabled=yes
add action=log chain=log disabled=yes
add action=drop chain=input comment="DROP DNS from WAN" dst-port=53 \
    in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="DROP DNS from WAN" dst-port=53 \
    in-interface-list=WAN protocol=udp
add action=log chain=log disabled=yes
add action=log chain=log disabled=yes
add action=add-dst-to-address-list address-list=connection-limit \
    address-list-timeout=1d chain=input comment=Connection_limit \
    connection-limit=100,32 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment=Adr_list_connection-limit_drop \
    in-interface-list=WAN src-address-list=connection-limit
add action=log chain=log disabled=yes
add action=log chain=log disabled=yes
add action=add-src-to-address-list address-list=perebor_portov_drop \
    address-list-timeout=6h chain=input comment=Perebor_portov_add_list \
    connection-nat-state=!dstnat connection-state=new dst-port=\
    21,22,80,443,3128,3389,8080-8082 in-interface-list=WAN log-prefix=\
    "Attack:: perebor_portov--" protocol=tcp
add action=drop chain=input comment=Perebor_portov_list_drop \
    connection-nat-state=!dstnat in-interface-list=WAN src-address-list=\
    perebor_portov_drop
add action=log chain=log disabled=yes
add action=log chain=log disabled=yes
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=4w2d chain=input comment="Port scaners" \
    in-interface-list=WAN protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=4w2d chain=input comment=-//-//-//- \
    in-interface-list=WAN protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=4w2d chain=input comment=-//-//-//- \
    in-interface-list=WAN protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=4w2d chain=input comment=-//-//-//- \
    in-interface-list=WAN protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=4w2d chain=input comment=-//-//-//- \
    in-interface-list=WAN protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=4w2d chain=input comment=-//-//-//- \
    in-interface-list=WAN protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=4w2d chain=input comment=-//-//-//- \
    in-interface-list=WAN protocol=tcp tcp-flags=\
    !fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment=Port_scanner_drop in-interface-list=WAN \
    src-address-list="port scanners"