•  

    Macie router? A macie w nim włączony dostęp przez SSH?

    Ja włączyłem go na około 10 dni w moim Synology RT2600ac i skutkiem było 14 tysięcy prób wejścia ...

    Po więcej informacji zachęcam do krótkiego tekstu na ten temat, gdzie m.in. analizuję wykorzystane w tym czasie loginy i adresy IP.
    Masz w routerze włączony dostęp przez SSH? Zobacz jak ryzykujesz...

    #technika, #technologia, #informatyka, #router, #routery, #siecikomputerowe, #sieci, #synology

    •  

      @Sajdyk_pl: Postawilem honeypota ssh, w 1.5 miesiaca mialem ponad 2 miliony prob logowania.

    •  

      Komentarz usunięty przez autora

    •  

      @1392c309a2da8ca65641315bf7dc62f2:
      Przyznam, że dla mnie to było zaskoczenie. Nie sądziłem, że tak szybko wyskanują, że mam otwarty port ssh... Potem to już idzie...

    •  

      @Sajdyk_pl: Kilka lat temu postawilem podobny konfig atak nastapil po kilku dniach. Tym razem, HP, postawiony w marcu. Pierwsza proba logowania na urzadzenia nastapila po 30 minutach.

    •  

      @Sajdyk_pl: wiesz, IPv4 daje 2^32 możliwych adresów IP, spora pula jest wyłączona, zarezerwowana itp. pozostaje więc, z informatycznego punktu widzenia, wciąż niewiele danych do przetestowania. Stawiam, że po prostu każdy możliwy adres IP jest skanowany, a jak wykryje otwarty port to botnet wali część swojej mocy na brute force :P

      Ale Twój przykład pokazuje, jak ważne jest zmienianie nie tylko hasła, ale i loginu z domyślnych. Pisz do Niebezpiecznika czy z3s może Cię gdzieś podlinkują ( ͡º ͜ʖ͡º)

    •  

      @Arveit: Niby tak, ale szok dalej ze mnie nie schodzi ( ͡° ͜ʖ ͡°)

    •  

      @Sajdyk_pl: inna sprawa to czy IP masz stałe czy zmienne i jaka pula, mogło być w jakiejś bazie celów ( ͡º ͜ʖ͡º) to jak z domenami. Kupiłem kiedyś domenę z rynku wtórnego na którą było nacelowane tak dużo botów, że mi transfer zużywały w ciągu kilkudziesięciu godzin. Niestety musiałem się jej pozbyć, bo w tamtych czasach taki transfer to cenna rzecz była. Nie polecam xD

    •  

      @Arveit: IP mam stałe, ale fakt faktem, że teraz bardziej zwrócę uwagę na ruch jaki mam do routera. Być może, że odbiega on od standardów bo jest - jak sugerujesz - w jakiejś bazie celów.

    •  

      @Sajdyk_pl: No dobra, a zmiana portu coś pomoże?

    •  

      @cation Jeżeli wyłączenie ssh nie wchodzi w grę to zmiana portu jest, niejako, konecznoscia. Myślę że te skanery nie analizują całego spektrum portów tylko te podstawowe.

    •  

      @Sajdyk_pl:

      W tym celu wyeksportowałem log do pliku CSV i wraz z odrobiną wyrażeń regularnych i PHP wystrugałem kawałek kodu (mogę udostępnić zainteresowanym)

      No ja bym chętnie zobaczył te cuda w PHP, zamiast awka, grepa lub seda. (⌐ ͡■ ͜ʖ ͡■)

      A co do skanowania i prób logowania to żadne novum (1.4 tys/dzień to i tak mało), już przy pierwszym stałym łączu (SDI tepsy, ktoś pamięta?) stosowało się ssh na innym porcie, port knocking, odpowiednią konfigurację iptables, itp.

      I nie myśl, że stałeś się celem ataków - automaty na bieżąco skanują pewne pule IP i porty, tego się nie uniknie.

    •  

      @Sajdyk_pl: Miałeś włączone automatyczne blokowanie? Przy standardowym ustawieniu 10 błędnych logowań w ciągu 5 minut powinno większość tych IP dodać do blokowanych ....

    •  

      @jucio: A awk, grep lub sed potrafi zliczać wyniki swojej pracy? Na przykład ile razy wystąpiło dane słowo?
      Nie siedzę w tych narzędziach na co dzień, ale wydawało mi się, że służą one tylko do wyrażeń regularnych. Ja w celu odfiltrowania z logu loginów i adresów IP użyłem notepad++. Natomiast PHP użyłem do tego, aby zliczyć wystąpienia tych loginów i adresów i przygotować z nich tabelkę, taką jaką zamieściłem w poście.
      Takie zliczenie pewnie można zrobić też innymi narzędziami (czytałem, że i Excel powinien to ogarnąć), ale mnie łatwiej było w PHP.
      Obecnie do PHP trzeba wkleić gotowe loginy lub adresy, żeby je przeanalizował, a na spokojnie spróbuję to zrobić tak, żeby PHP przetwarzało cały log od początku do końca. To znaczy, żeby się go wczytywało, on sam wyłapie loginy i adresy IP i zrobi z nich tabelkę.

      Ps.

      No ja bym chętnie zobaczył te cuda w PHP, zamiast awka, grepa lub seda. (⌐ ͡■ ͜ʖ ͡■)

      Doceniam poczucie humoru. A może i sarkazmu? ( ͡º ͜ʖ͡º)

    •  

      @MrAndy: Nie, nie miałem włączonej blokady IP. Z supportem kontaktowałem się w wyniku problemów z zestawieniem łącza VPN z androida do routera. Poprosili mnie o wyłączenie wszelkich restrykcyjnych rzeczy jak IPS, blokada IP, firewall i spróbowanie.
      Ostatecznie okazało się, że problem tkwił w apce na Androida i mają to poprawić.

      Natomiast celem mojego wpisu nie było pokazanie jak się zabezpieczyć przed tego typu próbami wbicia na router, ale sam fakt, jak one łatwo i szybko następują, bo to mnie zaskoczyło...

      O zabezpieczaniu routera myślę przygotować kolejny wpis i tam będzie m.in. o blokadzie IP, wyłączeniu ssh (lub zmianie domyślnego portu) oraz pewnie jeszcze kilka innych rzeczy.

    •  

      @Sajdyk_pl: Ot, lekki sarkazm. Generalnie spoko, każdy używa narzędzi jakie ma dostępne, ważny jest w końcu efekt.

    •  

      @Sajdyk_pl: nie można zastosować kluczy?

    •  

      @grzybosiur Ależ oczywiście, że można. Ja w tekście nie chciałem pokazać jak włączyć ssh i jak zrobić to bezpiecznie, ale czym może skutkować niefrasobliwość polegająca na pozostawieniu tego sposobu komunikacji całkiem bez nadzoru.
      Czasami ludzie kompletnie nie zwracają uwagi na to czy w routerze mają wlaczony, czy wyłączony ssh, a jak widać warto się tym zainteresować.

      +: Freakz
    •  

      @Sajdyk_pl: logowanie po kluczu, inny port niz 22, banowanie po 5 probach i tak pojawiaja sie ok 100 prob tygodniowo :)