29

Есть ли резон жаловаться на брутфорс ?

Господа, вопрос один в голове давно крутится. Fail2ban регулярно отлавливает попытки брутфорсить ssh. IP злодея попадает в бан на 10, все норм.


Есть ли смысл писать на адрес abuse указанный в Whois ? Дескать вот злодей, IP, время атаки, покарайте как можете.. В принципе можно даже скрыптик накатать что бы автоматом такие письма писались.

Есть ли резон слать такие письма? И вообще, нормально ли это, с морально-этической точки зрения ?

Дубликаты не найдены

+12

смени порт ssh

раскрыть ветку 13
+5

Да, согласен. Давно пора. Пока некоторые задачи еще требуют присутствия ssh на 22. Вопрос не в том как заблокировать, а нормально ли будет ябедничать на это в абуз. Ибо возмездие это звучит приятно, и если где-то в мире хоть один пидр пострадает хотя бы на 1 цент, я уже буду рад :))

-3

А смысл, будут другой порт бомбить.

раскрыть ветку 11
+10

Так долбит-то бот скорее всего, а они обычно на левые порты не ходят, тупо ломятся на стандартный. Так что совет хороший.

раскрыть ветку 5
+12

SSH на левом порту - ни одной попытки. Порт наружу торчит. На стандартном порту регулярно ломились.

раскрыть ветку 3
+6

Львиная доля брутфорсеров стучится на стандартный порт и если ничего не выходит то забивает. Но можно пойти дальше. Перенести ssh на другой порт, а на стандартный натравить софт, который будет его монитор и таким образом пополнять тебе блэклист соединений. Главное самому туда не улететь :)

+9

Смысла жаловаться и тратить свое время нет, поменяй порт, сделай авторизацию по ключу, отключи авторизацию по паролю и забудь.

раскрыть ветку 1
-1

ну потратить немного минут что бы написать скрипт отсылающись письмо не так уж и тяжело.

+9

А допустим человек стал так называемым "зомби" или брут идёт с IOT кого наказывать тогда?

раскрыть ветку 1
-1

Резонный вопрос. Мировой кинематограф говорит о том что зомбей надо мочить, не смотря на то что они не виноваты :))

+16

А смысл? Если люди не окончательно тупы, то они как минимум через проксю валят. Если банить все такие адреса, то это будет что-то вроде блокировки Телеграмма РКН'ом.

Надо полностью отслеживать маршруты, и валить в ответ, как настоящий хацкер 90х))

раскрыть ветку 3
+2

на 33600

+2

Я не настолько крут что бы валить :))

раскрыть ветку 1
+3
Смысла нет. А вот наказать его надо. И самый удобный вариант, подставить ему заряженную (сам знаешь чем ) жертву. Пусть радуется.
+7

Как правило брутфорсят со взломанных серваков, я ради интереса смотрел на адресах с которых ломают доступность порта 3389. У большинства из них смотрело в мир rdp.

раскрыть ветку 3
+3
Я ради интереса однажды ударился в анализ атакующих. Повезло наткнуться на на самбу с гостевым доступом, там явно чья-то завирушенная винда, дистрибы игр, заражённые вируснёй и прочие прелести, но чаще атакуют с линуксовых машин (открыт порт 22). Я так понимаю, какие-нибудь VPS с дефолтными паролями ломаются как орешки
+1

О.. Любопытно. Завтра заряжу списочек в nmap :)) что-то я об этом не подумал.

0

Кинь ссылку)

+5
Жаловаться надо, смысл есть. Как правило это VPSы, их блокируют и деньги не возвращают.
+4

Пишите на abuse смело, но если у вас не дикая нагрузка типо тысячи запросов в минуту, беспокоится не о чем. Это стандартная фигня для любого сервера что смотрит в инет. Смените порт на не стандартный, настройте задержку 10сек для невалидного пароля, отключите авторизацию по паролю и используйте ключи(сертификаты)

+4

1. Смени порт порт ssh 2. Настрой fail2ban что бы банил после второй неправильной попытки ввода пароля ( свой айпи добавь в исключения) и бан что бы был не на 10 мин а хотя бы на пару дней 3. Настрой авторизацию по ключу а не по паролю.

У себя сделал именно так и сразу же отвалились эти жуебы, но порты открытые все равно сканят

+3

Зависит от владельца ресурса.

Работая в провайдере периодически получали автоматически сформированные письма с abuse'ами. По первому факту обращения - общались с клиентом, кому был выделен абузящий IP. Если разговоры не помогали и мы продолжали получать жалобы - приходилось ограничивать клиенту сетевую активность...

+3

У меня терминал висит, далеко на НЕ стандартном порту. Эпизодически (от раза до 4х в месяц) вижу атаки на терминал (попытки подбора пароля). Тщательно отсылаю на abuse сообщения об этих фактах. И так уже больше года. За всё время мне пришёл только один ответ... с просьбой подтвердить логами атаку... Была или нет реакция в остальных случаях не знаю, при таких атаках я сразу всю подсеть по whois загоняю в ЧС на файрволе.

раскрыть ветку 7
+3
Подсеть нет смысла загонять. Это боты с заражённых серверов, один админ прорукожопил и его систему заразили, а соседний в той же подсети не сломан. Блокируя подсети можно себе всё залочить
раскрыть ветку 1
0

Спасибо, в курсе :)  но как правило я внимательно смотрю что за подсеть. Практику блокировки всей заведомо не нужной подсети для себя завёл после нескольких атак, когда при блокировке одного IP атака через короткое время возобновлялась с другого в этой же подсети. Кстати по личной статистике в процентах 80 событий атаки идут из бывшей дружественной республики, что мне совсем не актуально для работы в обозримой перспективе. Остальные случаи да - "препарирую" индивидуально (блокирую по отдельным IP).

+1

О! Спасибо за ответ! Я таки надеялся что у кого-то уже есть в копилке опыта подобный эксперимент.. Сталбыть положительного эффекта не наблюдается ? А отрицательный ?

раскрыть ветку 4
+1

Эффект может и есть, по крайней мере когда пишу письмо искренне надеюсь на это )) Но я сначала заношу адрес или всю подсесть в ЧС, и после этого в спокойной обстановке пишу на abuse. Из ЧС соответственно никого потом не убираю, так что проверить продолжаются атаки или нет - не могу, да и честно нет такой необходимости. Из отрицательного... скажем так частота атак от этого точно не зависит, закономерности точно не увидел :)

раскрыть ветку 3
+3
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку 1
+1

Ну русских IP не встречается что-то, там за речкой может у них другие порядки ?

+2

Да. Есть смысл. Арендующему хостинг или инет придет предупреждение от провайдера или вообще его отключат от сети.

+1

Про морально-этическое не понял, в смысле по-пацански или нет?))

раскрыть ветку 1
+1

Ну типа того, да. Сидит там за*бавшийся в усмерть админ и разгребает тонны абуз.. И тут я, такой красивый..

0

Однажды мне спамовые комментарии на Wordpress стали прилетать из одной подсети. Посмотрел whois, оказался украинский хостер. Написал им на abuse. Ответили, что заблочат. Спам не прекратился. Написал ещё раз - ответ тот же, но потом ничего не изменилось. Плюнул - и заблокировал на моей стороне. Так что реакция, разумеется, зависит от владельца адреса или машины за этим адресом.

0

На заре своей карьеры, когда впервые столкнулся с подобным, написал крупному египетскому провайдеру, что с их IP-адреса кто-то в сеть гадит. Ответной реакции не последовало, можно предположить, что действий никаких совершено не было. Больше подобным не занимался никогда.

Сейчас регулярно вижу какие-то попытки авторизации, в том числе по нестандартным портам. Ботнеты, анонимайзеры, VPN-ы и т.д. используют для своей деятельности сотни тысяч IP-адресов, и жаловаться на них на всех - это воевать с ветряными мельницами.

Смена портов тоже не панацея. Просканировать IP-адрес на открытые порты не так уж и тяжело. Неплохую идею с фэйковым сервисом на стандартных портах озвучил @true1ukrainian.

0

Есть смысл, работает но не со всеми провайдерами. Китацы болт укладывают на такие письма.

Оилчно работает со спамерами. Очень оперативно блочат.

раскрыть ветку 1
0

О.. Кстати со спамом чет тоже подзадолбали.. Читаю логи постфикса и матерюсь. Дойдут руки - займусь

0

Долбит либо бот, либо зомби, либо легитимное средство типа breaking point, вряд ли человек. Первые два убиваются переносом на нестандартный порт, третье - даже полезно. Но про №3 ты бы, скорее всего, знал.

Похожие посты
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: