Идет постоянная подборка пароля через ssh
Идет постоянная подборка пароля через ssh
На мой роутер идет постоянный подбор пароля по SSH.
Для хоть какойто защиты против этого был введена команда блокировки в Firewall:
/ip firewall filter
add action=jump chain=input comment="sshbruteforces chain" connection-state=\
new dst-port=22 jump-target=sshbruteforces protocol=tcp
add action=drop chain=sshbruteforces comment="drop ssh brute forcers" \
src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=sshbruteforces connection-state=new \
src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=sshbruteforces connection-state=new \
src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=sshbruteforces connection-state=new \
src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=sshbruteforces connection-state=new
add chain=sshbruteforces dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" disabled=\
no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add chain=sshbruteforces dst-port=22 protocol=tcp connection-state=new
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
Вот как меня ломают в терминале:
(27 messages not shown)
aug/12/2022 23:15:49 system,error,critical login failure for user root from 208.67
.105.35 via ssh
aug/12/2022 23:15:51 system,error,critical login failure for user root from 208.67
.105.35 via ssh
aug/12/2022 23:15:53 system,error,critical login failure for user root from 208.67
.105.35 via ssh
aug/12/2022 23:57:00 system,error,critical login failure for user anonymous from 3
4.78.6.216 via ftp
aug/12/2022 23:57:28 system,error,critical login failure for user admin from 167.1
72.46.104 via ssh
aug/12/2022 23:57:28 system,error,critical login failure for user root from 167.17
2.46.104 via ssh
aug/13/2022 00:54:44 system,error,critical login failure for user admin from 113.6
1.219.237 via ssh
aug/13/2022 01:01:13 system,error,critical login failure for user root from 61.218
.134.63 via ssh
01:48:23 echo: system,error,critical login failure for user admin from 14.50.131.3
6 via ssh
Вообщем этот гад заходит через впн и скрипт его блокирует. У меня за 2 дня уже 41 ip заблокирован. Можно конечно порт сменить ssh но как я понял это не особо может помоч.
Я не особо понял описание как используется SSH. Меня по локалке ломают или это както пытаются напрямую к роутеру подключится.
Для хоть какойто защиты против этого был введена команда блокировки в Firewall:
/ip firewall filter
add action=jump chain=input comment="sshbruteforces chain" connection-state=\
new dst-port=22 jump-target=sshbruteforces protocol=tcp
add action=drop chain=sshbruteforces comment="drop ssh brute forcers" \
src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=sshbruteforces connection-state=new \
src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=sshbruteforces connection-state=new \
src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=sshbruteforces connection-state=new \
src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=sshbruteforces connection-state=new
add chain=sshbruteforces dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" disabled=\
no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add chain=sshbruteforces dst-port=22 protocol=tcp connection-state=new
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
Вот как меня ломают в терминале:
(27 messages not shown)
aug/12/2022 23:15:49 system,error,critical login failure for user root from 208.67
.105.35 via ssh
aug/12/2022 23:15:51 system,error,critical login failure for user root from 208.67
.105.35 via ssh
aug/12/2022 23:15:53 system,error,critical login failure for user root from 208.67
.105.35 via ssh
aug/12/2022 23:57:00 system,error,critical login failure for user anonymous from 3
4.78.6.216 via ftp
aug/12/2022 23:57:28 system,error,critical login failure for user admin from 167.1
72.46.104 via ssh
aug/12/2022 23:57:28 system,error,critical login failure for user root from 167.17
2.46.104 via ssh
aug/13/2022 00:54:44 system,error,critical login failure for user admin from 113.6
1.219.237 via ssh
aug/13/2022 01:01:13 system,error,critical login failure for user root from 61.218
.134.63 via ssh
01:48:23 echo: system,error,critical login failure for user admin from 14.50.131.3
6 via ssh
Вообщем этот гад заходит через впн и скрипт его блокирует. У меня за 2 дня уже 41 ip заблокирован. Можно конечно порт сменить ssh но как я понял это не особо может помоч.
Я не особо понял описание как используется SSH. Меня по локалке ломают или это както пытаются напрямую к роутеру подключится.
Re: Идет постоянная подборка пароля через ssh
Плиз помогите заблокировать хакера. Он уже по ftp меня ломает и ip с которого происходит взлом уже в черном списке. Вот с терминала строчка:
18:58:20 echo: system,error,critical login failure for user user from 173.185.114.16 via ftp
18:58:20 echo: system,error,critical login failure for user user from 173.185.114.16 via ftp
- Sir_Prikol
- Сообщения: 560
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
- Контактная информация:
Re: Идет постоянная подборка пароля через ssh
Код: Выделить всё
/ip firewall filter
add action=accept chain=forward comment="1.1. Forward and Input Established and Related connections" connection-state=established,related in-interface-list=iNET
add action=drop chain=forward connection-state=invalid in-interface-list=iNET
add action=accept chain=input connection-state=established,related in-interface-list=iNET
add action=drop chain=input connection-state=invalid in-interface-list=iNET
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=iNET
add action=jump chain=forward comment="1.2. DDoS Protect - SYN Flood" connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=iNET jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=2k,5:packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new in-interface-list=iNET protocol=tcp tcp-flags=syn
add action=reject chain=input comment="1.3. Protected - Ports Scanners" in-interface-list=iNET reject-with=icmp-network-unreachable src-address-list=zz_xPORT_SCANNER
add action=add-src-to-address-list address-list=zz_xPORT_SCANNER address-list-timeout=4w2d chain=input in-interface-list=iNET protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=zz_xPORT_SCANNER address-list-timeout=2w1d chain=forward in-interface-list=iNET protocol=tcp psd=21,3s,3,1
add action=reject chain=input comment="1.4. Protected - FTP Access" dst-port=21 in-interface-list=iNET protocol=tcp reject-with=icmp-network-unreachable src-address-list=zz_xFTP_BLOCK
add action=add-src-to-address-list address-list=zz_xFTP_BLOCK address-list-timeout=4w2d chain=input connection-state=new dst-port=21 in-interface-list=iNET protocol=tcp src-address-list=zzz_FTP_stage3
add action=add-src-to-address-list address-list=zzz_FTP_stage3 address-list-timeout=3m chain=input connection-state=new dst-port=21 in-interface-list=iNET protocol=tcp src-address-list=zzz_FTP_stage2
add action=add-src-to-address-list address-list=zzz_FTP_stage2 address-list-timeout=2m chain=input connection-state=new dst-port=21 in-interface-list=iNET protocol=tcp src-address-list=zzz_FTP_stage1
add action=add-src-to-address-list address-list=zzz_FTP_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=21 in-interface-list=iNET protocol=tcp
add action=accept chain=input dst-port=21 in-interface-list=iNET protocol=tcp
add action=reject chain=input comment="1.5. Protected - SSH Access" dst-port=22 in-interface-list=iNET protocol=tcp reject-with=icmp-network-unreachable src-address-list=zz_xSSH_BLOCK
add action=add-src-to-address-list address-list=zz_xSSH_BLOCK address-list-timeout=4w2d chain=input connection-state=new dst-port=22 in-interface-list=iNET protocol=tcp src-address-list=zzz_SSH_stage3
add action=add-src-to-address-list address-list=zzz_SSH_stage3 address-list-timeout=3m chain=input connection-state=new dst-port=22 in-interface-list=iNET protocol=tcp src-address-list=zzz_SSH_stage2
add action=add-src-to-address-list address-list=zzz_SSH_stage2 address-list-timeout=2m chain=input connection-state=new dst-port=22 in-interface-list=iNET protocol=tcp src-address-list=zzz_SSH_stage1
add action=add-src-to-address-list address-list=zzz_SSH_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 in-interface-list=iNET protocol=tcp
add action=accept chain=input dst-port=22 in-interface-list=iNET protocol=tcp
add action=reject chain=input comment="1.6. Protected - RDP Access" dst-port=3389 in-interface-list=iNET protocol=tcp reject-with=icmp-network-unreachable src-address-list=zz_xRDP_BLOCK
add action=add-src-to-address-list address-list=zz_xRDP_BLOCK address-list-timeout=4w2d chain=input connection-state=new dst-port=3389 in-interface-list=iNET protocol=tcp src-address-list=zzz_RDP_stage3
add action=add-src-to-address-list address-list=zzz_RDP_stage3 address-list-timeout=3m chain=input connection-state=new dst-port=3389 in-interface-list=iNET protocol=tcp src-address-list=zzz_RDP_stage2
add action=add-src-to-address-list address-list=zzz_RDP_stage2 address-list-timeout=2m chain=input connection-state=new dst-port=3389 in-interface-list=iNET protocol=tcp src-address-list=zzz_RDP_stage1
add action=add-src-to-address-list address-list=zzz_RDP_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=3389 in-interface-list=iNET protocol=tcp
add action=accept chain=input dst-port=3389 in-interface-list=iNET protocol=tcp
add action=reject chain=input comment="1.7. Protected - WinBox Access" dst-port=8291 in-interface-list=iNET protocol=tcp reject-with=icmp-network-unreachable src-address-list=zz_xWinBox_BLOCK
add action=add-src-to-address-list address-list=zz_xWinBox_BLOCK address-list-timeout=4w2d chain=input connection-state=new dst-port=8291 in-interface-list=iNET protocol=tcp src-address-list=zzz_WinBox_stage3
add action=add-src-to-address-list address-list=zzz_WinBox_stage3 address-list-timeout=3m chain=input connection-state=new dst-port=8291 in-interface-list=iNET protocol=tcp src-address-list=zzz_WinBox_stage2
add action=add-src-to-address-list address-list=zzz_WinBox_stage2 address-list-timeout=2m chain=input connection-state=new dst-port=8291 in-interface-list=iNET protocol=tcp src-address-list=zzz_WinBox_stage1
add action=add-src-to-address-list address-list=zzz_WinBox_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=iNET protocol=tcp
add action=accept chain=input dst-port=8291 in-interface-list=iNET protocol=tcp
add action=accept chain=input comment="1.8. Access Normal Ping" in-interface-list=iNET limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment="9.9. Drop All Other" in-interface-list=iNET
Будет блочить на определённое время в автоматическом режиме.
Время можно самому сделать, ну и, естественно, сделано через интерфейслисты. Аплинк должен находится в нём.
Можно через RAW, но там есть некоторые нюансы.
У еня, при таком раскладе, собирает около 5K айпишников за месяц, поэтому ротация
Дома: CCR2004 (7-ISP(GPON)белый IP)
Re: Идет постоянная подборка пароля через ssh
А я просто отключаю доступ к SSH из Интернета. Он вам действительно нужен?
З.Ы. Ломает вас куча разных "людей", подозреваю. Это обычные сканеры, которые перебирают на доступных ресурсах стандартные пары "логин-пароль", чтобы вырастить ферму подконтрольных роутеров.
З.Ы. Ломает вас куча разных "людей", подозреваю. Это обычные сканеры, которые перебирают на доступных ресурсах стандартные пары "логин-пароль", чтобы вырастить ферму подконтрольных роутеров.
Re: Идет постоянная подборка пароля через ssh
1)Насчет людей подбирающих, может и людей но мне так кажется это тех которых уже ломанули и скрипт подбора на роутере стоит, хотя я не знаю можноли не на микротике скрипт сделать подбора. Не все ведь поменяли стартовый пароль на роутере.
2)У меня подключен статический ip адрес и вначале подуал на него(ктото узнал его) но сегодня через прова сменил айпишник а взлом продолжается а значит провайдерский статический айпишник тут непричем или его смогли както узнать. У меня просто на самом роутере включен DOH от клодфейр и трафик ведь шифруется по крайней мере на компьютерах а на смарте уже шифрование не работает.
Chupaka Ответь пожалуйста, хотябы предположи ты ведь лучше понимаеш наш роутер, откуда кроме статики меня могут ломать или я прав по 1 пункту. Взлом врятли прекратится но хотябы знать откуда эта зараза лезет.
Если я через winbox захожу, для настройки роутера используется для входа ssh или нет. ftp пользуюсь редко но всетаки использую и не знаю стоитли его отключать. web профиль в последнии дни начал тоже появлятся в терминале. Если на 1 два у меня ip подборщики помещаются в одну кучу(ssh_blacklist)то то что делать с web профилем я даже не знаю.
Sir_Pricol Спасибо за скрипт. Я смотрю ты все что только можно там позакрывал. Скрипт скопировал но попробую его в действии позже.
2)У меня подключен статический ip адрес и вначале подуал на него(ктото узнал его) но сегодня через прова сменил айпишник а взлом продолжается а значит провайдерский статический айпишник тут непричем или его смогли както узнать. У меня просто на самом роутере включен DOH от клодфейр и трафик ведь шифруется по крайней мере на компьютерах а на смарте уже шифрование не работает.
Chupaka Ответь пожалуйста, хотябы предположи ты ведь лучше понимаеш наш роутер, откуда кроме статики меня могут ломать или я прав по 1 пункту. Взлом врятли прекратится но хотябы знать откуда эта зараза лезет.
Если я через winbox захожу, для настройки роутера используется для входа ssh или нет. ftp пользуюсь редко но всетаки использую и не знаю стоитли его отключать. web профиль в последнии дни начал тоже появлятся в терминале. Если на 1 два у меня ip подборщики помещаются в одну кучу(ssh_blacklist)то то что делать с web профилем я даже не знаю.
Sir_Pricol Спасибо за скрипт. Я смотрю ты все что только можно там позакрывал. Скрипт скопировал но попробую его в действии позже.
- Sir_Prikol
- Сообщения: 560
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
- Контактная информация:
Re: Идет постоянная подборка пароля через ssh
Как раз не всё, это защита от сканеров. Вас не ломают, вас сканируют - это нормально. Смена айпишника не поможет. В этих ваших интернетах, сканнеров хоть ж...ой трескай
Дома: CCR2004 (7-ISP(GPON)белый IP)
Re: Идет постоянная подборка пароля через ssh
winbox - это не ssh. Закрывайте доступ из Интернета и подключайтесь из локалки или VPN - и будет вам счастье. Что-то типа такого:
/ip firewall filter add chain=input connection-state=new in-interface-list=WAN (если там актуальная информация) action=drop
/ip firewall filter add chain=input connection-state=new in-interface-list=WAN (если там актуальная информация) action=drop
Re: Идет постоянная подборка пароля через ssh
Chupaka спасибо за последнее правило так как оно помогло и блокирует запросы через web на роутер но я иногда захожу через смартфон и это правило доступ блокирует. Все меня ломают только по web. Хочу собрать по возможности все адреса подборщиков и где нибудь выложить их.
Внес правило 'Honeypot" и полетели куча ip адресов. Можно внести 80 порт в данное правило и так собирать еще больше адресов. А вдруг забуду отключить порт из правила и в бан улечу. У меня уже за 3 дня собрало данное правило почти 1500 адресов. Может можно както обезопасить себя и правило внести в файрвол. В верхнем правиле которое я указал выше с помощью тестов выяснил что при неправильном пароле, через винбокс информация о неправильном пароле появляется в терминале но при этом адрес не помещается при первых 2 ошибках в адрес лист. Может можно что нибудь для "Honeypot" по аналогии вписать для защиты.
Внес правило 'Honeypot" и полетели куча ip адресов. Можно внести 80 порт в данное правило и так собирать еще больше адресов. А вдруг забуду отключить порт из правила и в бан улечу. У меня уже за 3 дня собрало данное правило почти 1500 адресов. Может можно както обезопасить себя и правило внести в файрвол. В верхнем правиле которое я указал выше с помощью тестов выяснил что при неправильном пароле, через винбокс информация о неправильном пароле появляется в терминале но при этом адрес не помещается при первых 2 ошибках в адрес лист. Может можно что нибудь для "Honeypot" по аналогии вписать для защиты.
Re: Идет постоянная подборка пароля через ssh
1. не мучайте себе голову и отключите все сервисы кроме winbox: ip service disable ***G12R писал(а): ↑29 авг 2022, 19:28 Chupaka спасибо за последнее правило так как оно помогло и блокирует запросы через web на роутер но я иногда захожу через смартфон и это правило доступ блокирует. Все меня ломают только по web. Хочу собрать по возможности все адреса подборщиков и где нибудь выложить их.
Внес правило 'Honeypot" и полетели куча ip адресов. Можно внести 80 порт в данное правило и так собирать еще больше адресов. А вдруг забуду отключить порт из правила и в бан улечу. У меня уже за 3 дня собрало данное правило почти 1500 адресов. Может можно както обезопасить себя и правило внести в файрвол. В верхнем правиле которое я указал выше с помощью тестов выяснил что при неправильном пароле, через винбокс информация о неправильном пароле появляется в терминале но при этом адрес не помещается при первых 2 ошибках в адрес лист. Может можно что нибудь для "Honeypot" по аналогии вписать для защиты.
2. с телефона для доступа к микроту используйте приложение, а не web и будет вам счастье
3. вот поправленый ваш список правил, что бы сканировщики улетали в блок на временной интервал, всех вы не отловите, они меняют адреса:
Код: Выделить всё
/ip firewall filter
add action=log chain=log disabled=yes
add action=log chain=log disabled=yes
add action=drop chain=input comment="DROP DNS from WAN" dst-port=53 \
in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="DROP DNS from WAN" dst-port=53 \
in-interface-list=WAN protocol=udp
add action=log chain=log disabled=yes
add action=log chain=log disabled=yes
add action=add-dst-to-address-list address-list=connection-limit \
address-list-timeout=1d chain=input comment=Connection_limit \
connection-limit=100,32 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment=Adr_list_connection-limit_drop \
in-interface-list=WAN src-address-list=connection-limit
add action=log chain=log disabled=yes
add action=log chain=log disabled=yes
add action=add-src-to-address-list address-list=perebor_portov_drop \
address-list-timeout=6h chain=input comment=Perebor_portov_add_list \
connection-nat-state=!dstnat connection-state=new dst-port=\
21,22,80,443,3128,3389,8080-8082 in-interface-list=WAN log-prefix=\
"Attack:: perebor_portov--" protocol=tcp
add action=drop chain=input comment=Perebor_portov_list_drop \
connection-nat-state=!dstnat in-interface-list=WAN src-address-list=\
perebor_portov_drop
add action=log chain=log disabled=yes
add action=log chain=log disabled=yes
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=4w2d chain=input comment="Port scaners" \
in-interface-list=WAN protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=4w2d chain=input comment=-//-//-//- \
in-interface-list=WAN protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=4w2d chain=input comment=-//-//-//- \
in-interface-list=WAN protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=4w2d chain=input comment=-//-//-//- \
in-interface-list=WAN protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=4w2d chain=input comment=-//-//-//- \
in-interface-list=WAN protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=4w2d chain=input comment=-//-//-//- \
in-interface-list=WAN protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=4w2d chain=input comment=-//-//-//- \
in-interface-list=WAN protocol=tcp tcp-flags=\
!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment=Port_scanner_drop in-interface-list=WAN \
src-address-list="port scanners"