30

Есть ли резон жаловаться на брутфорс ?

Господа, вопрос один в голове давно крутится. Fail2ban регулярно отлавливает попытки брутфорсить ssh. IP злодея попадает в бан на 10, все норм.


Есть ли смысл писать на адрес abuse указанный в Whois ? Дескать вот злодей, IP, время атаки, покарайте как можете.. В принципе можно даже скрыптик накатать что бы автоматом такие письма писались.

Есть ли резон слать такие письма? И вообще, нормально ли это, с морально-этической точки зрения ?

Дубликаты не найдены

+7

Как правило брутфорсят со взломанных серваков, я ради интереса смотрел на адресах с которых ломают доступность порта 3389. У большинства из них смотрело в мир rdp.

раскрыть ветку 3
+3
Я ради интереса однажды ударился в анализ атакующих. Повезло наткнуться на на самбу с гостевым доступом, там явно чья-то завирушенная винда, дистрибы игр, заражённые вируснёй и прочие прелести, но чаще атакуют с линуксовых машин (открыт порт 22). Я так понимаю, какие-нибудь VPS с дефолтными паролями ломаются как орешки
+1

О.. Любопытно. Завтра заряжу списочек в nmap :)) что-то я об этом не подумал.

0

Кинь ссылку)

+9

Смысла жаловаться и тратить свое время нет, поменяй порт, сделай авторизацию по ключу, отключи авторизацию по паролю и забудь.

раскрыть ветку 1
-1

ну потратить немного минут что бы написать скрипт отсылающись письмо не так уж и тяжело.

+13

смени порт ssh

раскрыть ветку 13
+5

Да, согласен. Давно пора. Пока некоторые задачи еще требуют присутствия ssh на 22. Вопрос не в том как заблокировать, а нормально ли будет ябедничать на это в абуз. Ибо возмездие это звучит приятно, и если где-то в мире хоть один пидр пострадает хотя бы на 1 цент, я уже буду рад :))

-3

А смысл, будут другой порт бомбить.

раскрыть ветку 11
+10

Так долбит-то бот скорее всего, а они обычно на левые порты не ходят, тупо ломятся на стандартный. Так что совет хороший.

раскрыть ветку 5
+7

Львиная доля брутфорсеров стучится на стандартный порт и если ничего не выходит то забивает. Но можно пойти дальше. Перенести ssh на другой порт, а на стандартный натравить софт, который будет его монитор и таким образом пополнять тебе блэклист соединений. Главное самому туда не улететь :)

+13

SSH на левом порту - ни одной попытки. Порт наружу торчит. На стандартном порту регулярно ломились.

раскрыть ветку 3
+5

Пишите на abuse смело, но если у вас не дикая нагрузка типо тысячи запросов в минуту, беспокоится не о чем. Это стандартная фигня для любого сервера что смотрит в инет. Смените порт на не стандартный, настройте задержку 10сек для невалидного пароля, отключите авторизацию по паролю и используйте ключи(сертификаты)

+9

А допустим человек стал так называемым "зомби" или брут идёт с IOT кого наказывать тогда?

раскрыть ветку 1
-1

Резонный вопрос. Мировой кинематограф говорит о том что зомбей надо мочить, не смотря на то что они не виноваты :))

+5
Жаловаться надо, смысл есть. Как правило это VPSы, их блокируют и деньги не возвращают.
+4

1. Смени порт порт ssh 2. Настрой fail2ban что бы банил после второй неправильной попытки ввода пароля ( свой айпи добавь в исключения) и бан что бы был не на 10 мин а хотя бы на пару дней 3. Настрой авторизацию по ключу а не по паролю.

У себя сделал именно так и сразу же отвалились эти жуебы, но порты открытые все равно сканят

+16

А смысл? Если люди не окончательно тупы, то они как минимум через проксю валят. Если банить все такие адреса, то это будет что-то вроде блокировки Телеграмма РКН'ом.

Надо полностью отслеживать маршруты, и валить в ответ, как настоящий хацкер 90х))

раскрыть ветку 3
+2

на 33600

+2

Я не настолько крут что бы валить :))

раскрыть ветку 1
+4
Смысла нет. А вот наказать его надо. И самый удобный вариант, подставить ему заряженную (сам знаешь чем ) жертву. Пусть радуется.
+3

Зависит от владельца ресурса.

Работая в провайдере периодически получали автоматически сформированные письма с abuse'ами. По первому факту обращения - общались с клиентом, кому был выделен абузящий IP. Если разговоры не помогали и мы продолжали получать жалобы - приходилось ограничивать клиенту сетевую активность...

+3

У меня терминал висит, далеко на НЕ стандартном порту. Эпизодически (от раза до 4х в месяц) вижу атаки на терминал (попытки подбора пароля). Тщательно отсылаю на abuse сообщения об этих фактах. И так уже больше года. За всё время мне пришёл только один ответ... с просьбой подтвердить логами атаку... Была или нет реакция в остальных случаях не знаю, при таких атаках я сразу всю подсеть по whois загоняю в ЧС на файрволе.

раскрыть ветку 7
+3
Подсеть нет смысла загонять. Это боты с заражённых серверов, один админ прорукожопил и его систему заразили, а соседний в той же подсети не сломан. Блокируя подсети можно себе всё залочить
раскрыть ветку 1
0

Спасибо, в курсе :)  но как правило я внимательно смотрю что за подсеть. Практику блокировки всей заведомо не нужной подсети для себя завёл после нескольких атак, когда при блокировке одного IP атака через короткое время возобновлялась с другого в этой же подсети. Кстати по личной статистике в процентах 80 событий атаки идут из бывшей дружественной республики, что мне совсем не актуально для работы в обозримой перспективе. Остальные случаи да - "препарирую" индивидуально (блокирую по отдельным IP).

+1

О! Спасибо за ответ! Я таки надеялся что у кого-то уже есть в копилке опыта подобный эксперимент.. Сталбыть положительного эффекта не наблюдается ? А отрицательный ?

раскрыть ветку 4
+1

Эффект может и есть, по крайней мере когда пишу письмо искренне надеюсь на это )) Но я сначала заношу адрес или всю подсесть в ЧС, и после этого в спокойной обстановке пишу на abuse. Из ЧС соответственно никого потом не убираю, так что проверить продолжаются атаки или нет - не могу, да и честно нет такой необходимости. Из отрицательного... скажем так частота атак от этого точно не зависит, закономерности точно не увидел :)

раскрыть ветку 3
+3
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку 1
+1

Ну русских IP не встречается что-то, там за речкой может у них другие порядки ?

+2

Да. Есть смысл. Арендующему хостинг или инет придет предупреждение от провайдера или вообще его отключат от сети.

+1

Про морально-этическое не понял, в смысле по-пацански или нет?))

раскрыть ветку 1
+1

Ну типа того, да. Сидит там за*бавшийся в усмерть админ и разгребает тонны абуз.. И тут я, такой красивый..

0

Однажды мне спамовые комментарии на Wordpress стали прилетать из одной подсети. Посмотрел whois, оказался украинский хостер. Написал им на abuse. Ответили, что заблочат. Спам не прекратился. Написал ещё раз - ответ тот же, но потом ничего не изменилось. Плюнул - и заблокировал на моей стороне. Так что реакция, разумеется, зависит от владельца адреса или машины за этим адресом.

0

Есть смысл, работает но не со всеми провайдерами. Китацы болт укладывают на такие письма.

Оилчно работает со спамерами. Очень оперативно блочат.

раскрыть ветку 1
0

О.. Кстати со спамом чет тоже подзадолбали.. Читаю логи постфикса и матерюсь. Дойдут руки - займусь

0

Долбит либо бот, либо зомби, либо легитимное средство типа breaking point, вряд ли человек. Первые два убиваются переносом на нестандартный порт, третье - даже полезно. Но про №3 ты бы, скорее всего, знал.

0

На заре своей карьеры, когда впервые столкнулся с подобным, написал крупному египетскому провайдеру, что с их IP-адреса кто-то в сеть гадит. Ответной реакции не последовало, можно предположить, что действий никаких совершено не было. Больше подобным не занимался никогда.

Сейчас регулярно вижу какие-то попытки авторизации, в том числе по нестандартным портам. Ботнеты, анонимайзеры, VPN-ы и т.д. используют для своей деятельности сотни тысяч IP-адресов, и жаловаться на них на всех - это воевать с ветряными мельницами.

Смена портов тоже не панацея. Просканировать IP-адрес на открытые порты не так уж и тяжело. Неплохую идею с фэйковым сервисом на стандартных портах озвучил @true1ukrainian.

Похожие посты
297

Отравление арбузом, будьте осторожны

Август, начался долгожданный сезон арбузов, ну и решили позавчера и мы купить себе данное лакомство. Купили в известном супермаркете "П**********". Вкусный, сладкий, внешне тоже вроде норм... Вот только жену через два часа скрутило (я покрепче и отделался лёгким несварением). А у неё сначала просто боли были, ночь плохо спала, а вчера с утра жуткие спазмы и прочие "радости" отравления. От болей кое-как помогла но-шпа,  вчера и сегодня пьёт сорбенты и много воды, ест только рис, симптомы облегчились,  но сохраняются. Арбуз мыли с мылом и хорошо ополаскивали, всё по правилам. Прочитал, что распространены отравления нитратами в начале сезона бахчевых, и если опустить мякоть арбуза в воду, в норме она замутнится только, а если арбуз с "передозом" нитратов - окрасится в розовый. Результат на фото, практически сразу как опустил вода приобрела розовый оттенок. Правда не знаю, насколько это реальный показатель. В любом случае, будьте осторожны,  особенно если даёте арбуз детям. Пост не рейтинга ради (тег соответственно поставил), чисто предупредить.

Отравление арбузом, будьте осторожны Арбуз, Отравление, Будьте осторожны, Без рейтинга
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: