LINUX.ORG.RU
ФорумAdmin

методы активной защиты станции/сервера. Законные и не очень.

 , ,


0

2

Какие существуют действенные способы «дать сдачи», тем кто пытается явно просканировать или взломать ссх/рдп т.д., неважно, какой протокол или порт?
Иногда просто злит и охота самому зафлудить пингом, перебрать пароли ссх подключиться и удалить всё rm -rf. А не уйти в глухаря, закрывая каждый порт везде. Пофиг, что это джайл, виртуалка, главное - отомстить. Не всё законно, даа.
Но предположим, если с атакованной машины будет идти пингофлуд(да, его можно отключить, угу), то провайдерами же будут предприняты какие то ответные меры. Либо машинка выедет за мной. Либо обратят внимание на то, кого флудят и постараются найти внутри своей сети предмет такого внимания?
Вообще, я не слишком технически подкован и не понимаю, почему боты сидят, перебирают адреса, пытаются подключится к любым машинам...а всем провайдерам насрать на это. боты сидят где-то в сомали на незаконно подключённом волокне?)) если идет активный перебор, это же должны локализовывать и отключать сначала на уровне сегмента побольше, потом ещё меньше, пока не доберешься до васи c проксёй. Но раз так редко добираются до Вась, то складыватся ощущение, что эти Васи сидят где то в крупных правительственных датацентрах, вот прям ваще внутри, а с Дону выдачи нет! Паранойя-с.

Ну ладно, прокси-проксями, но не каждый же второй пользователь инета держит свой личный джайл и имеет круговую поруку с тором?
Почему не могут заблокировать 10 ботов в мировой сети? или их 100? Или 100000? и они все серют из одного сегмента?

извиняюсь за профанство, захотелось поговорить

darkenshvein ★★★★★
() автор топика

Ну что сказать, iptables, fail2ban. Защита от ддоса за деньги.

Deleted
()

Смотри: тебя досят, ты досишь в ответ, ? profit. Также смотри: тебя дудосят, а ты не знаешь, кого из многомиллионного ботнета досить в ответ, ? твой сервак падает.

Против остального нет приема, ведь все делается анонимно.

batya
()
Ответ на: комментарий от batya

ну если именно атака с каждой микроволновки то да,это другой случай)

darkenshvein ★★★★★
() автор топика

Какие существуют действенные способы «дать сдачи», тем кто пытается явно просканировать или взломать ссх/рдп т.д., неважно, какой протокол или порт?

найми админа

reprimand ★★★★★
()
Ответ на: комментарий от batya

Смотря на то как тс формулирует свою речь о вещах, в которых не разбирается - это не только надёжный, но еще и безопасный. Будет реальная польза с минимальными времязатратами. Хотя, конечно, если он безработный и времени полно, то да, наколенные howto из интернета - самое оно.

reprimand ★★★★★
()
Ответ на: комментарий от darkenshvein

он найдёт и вычислит всех по айпи? :)

Он настроит тебе целевую систему так, чтобы ты не знал горя и не морочил себе голову вопросами, которые тебе нужны на 1-2 раза.

reprimand ★★★★★
()

боты сидят где-то в сомали на незаконно подключённом волокне?

Боты сидят в каждом втором раутере и каждой первой камере наблюдения и прочих IoT-девайсах.

x3al ★★★★★
()

и не понимаю, почему боты сидят, перебирают адреса, пытаются подключится к любым машинам...

Вообще-то это скорее всего пытаются подключиться роутеры. Ну вы слышали наверняка о том, как по дефолтному паролю программы подключаются к роутеру. Я немного читал код miraj, там идёт проверка по списку паролей, потом подключается, узнаёт о системе в которой находится, точно не помню, но скорее всего знаю архитектуру скачивает с помощью wget нужный файл (там где есть wget), и запускает его, и так ботнет расширяется. Потом он тоже начинает сканировать сеть. А так как их количество огромное, то и в логах можно видеть постоянную возню с попытками подключения. Может есть модификации где проверяются ssh и rdp, но и в этом случае, какой будет толк, если ты в ответ будешь сканировать, только если познакомиться с устройством. Ведь скорее всего за таким устройством мало кто следит, и в нём можно полазить.

u0atgKIRznY5
()
Ответ на: комментарий от darkenshvein

атаки( включая брутфорс) всегда идут со взломанных машин и миллионы их. так что отвечать- бесполезное занятие. можешь разве что для успокоения жажды мести настроить автоматические жалобы в abuse владельцам подсетей. Возможно, что одна из ста будет срабатывать.

constin ★★★★
()

Бей ботнеты - спасай Россию!

Всё правильно, каждый кто допустил на своём компьютере ботнет - должен страдать. Зашли им Петю.

buratino ★★★★★
()

раз там бот, значит IP с высокой вероятностью уязвимый, ломай его повторно и ставь туда майнер эфира.

af5 ★★★★★
()

Какие существуют действенные способы «дать сдачи», тем кто пытается явно просканировать или взломать ссх/рдп т.д., неважно, какой протокол или порт?

Никаких.

Иногда просто злит и охота самому зафлудить пингом, перебрать пароли ссх подключиться и удалить всё rm -rf. А не уйти в глухаря, закрывая каждый порт везде. Пофиг, что это джайл, виртуалка, главное - отомстить. Не всё законно, даа.

Выпей успокоительного и посмотри поняш.

Но предположим, если с атакованной машины будет идти пингофлуд(да, его можно отключить, угу), то провайдерами же будут предприняты какие то ответные меры. Либо машинка выедет за мной. Либо обратят внимание на то, кого флудят и постараются найти внутри своей сети предмет такого внимания?

Не будут, всем пофиг.

Вообще, я не слишком технически подкован и не понимаю, почему боты сидят, перебирают адреса, пытаются подключится к любым машинам...а всем провайдерам насрать на это.

Провайдер предоставляет доступ в интернет. Его дело — передавать IP-пакеты. А что в этих пакетах — трафик до фейсбучика или перебор паролей — не его собачье дело. И ему действительно насрать на это. Он скорее забанит тех, кто все каналы торрентами забивает.

боты сидят где-то в сомали на незаконно подключённом волокне?)) если идет активный перебор, это же должны локализовывать и отключать сначала на уровне сегмента побольше, потом ещё меньше, пока не доберешься до васи c проксёй.

Кто должны, кому должны? Единственные, кто кому-то что-то должны, это админы, настраивающие серверы, должные настраивать их так, чтобы эти переборы ничего кроме шума не создавали.

Но раз так редко добираются до Вась, то складыватся ощущение, что эти Васи сидят где то в крупных правительственных датацентрах, вот прям ваще внутри, а с Дону выдачи нет! Паранойя-с.

Угу, Путин пингует тебя в свободное от пожирания младенцев время.

Почему не могут заблокировать 10 ботов в мировой сети? или их 100? Или 100000? и они все серют из одного сегмента?

Ну вот на западе одно время была мода банить IP по стране, -китай, -россия, -украина и тд, откуда в основном идут такие боты. А так — ну, я думаю, десятки миллионов ботов это похоже на правду и каждый день тысячами заражаются новые машины (и чистятся старые). Поэтому таки нет, заблокировать это нереально. Подумай, сколько петь зашифровали файлы, и буча поднялась ровно потому, что они мешают людям работать. А сколько вась сидит и никому особо не мешая ботнетят?

Если машина, с которой идёт зловредный трафик, у какого-то провайдера серверов, можешь ему в суппорт написать, скорее всего отреагируют. Но, как ты прекрасно понимаешь, на каждую машину писать — пообедать времени не останется, да и писульки эти вряд ли будут иметь большую эффективность.

Всё, что ты можешь и должен сделать — работать в данных условиях. Ставь последние обновления почаще, ставь нормальные неподбираемые пароли, не суй голой жопой на улицу всё подряд.

Legioner ★★★★★
()
Ответ на: комментарий от darkenshvein

понятно. то есть хороший админ это админ, который не задаёт лишних вопросов.

Нет. С тебя вытребуют инфу насчёт того чего ты пытаешься добиться (как клиент), а затем настроят систему так, чтобы ни у кого не было лишнего гемора. А если бы и был - то явно не в скором времени. Лет эдак через 10.

reprimand ★★★★★
()

Наколенный вариант:

1) Не свети стандартными портами
2) ssh (а лучше и другие сервисы) ставь на другой порт, желательно > 9000
3) Про авторизацию по ключам, я думаю, лучше не упоминать - это само собой разумеющееся
4) Если у тебя подкроватный сервер (т.е. firewall и NAT у тебя в виде домашнего роутера) - настрой свой роутер, наконец!
5) Сдачи давать нет смысла.
6) я не знаю где в линуксе у вас есть аналог net.inet.tcp.blackhole и других подобных твиков tcp подсистемы, но всё-таки я рекомендую нанять админа

ну и да, ты не огласил полный список сервисов которые у тебя крутятся, равным счётом как и сетевую инфраструктуру

reprimand ★★★★★
()

А что-то в этой идее есть, да.

Если, скажем, openssh по дефолту после каждой неудачной попытки будет отправлять в ответ десяток пинг-пакетов большого размера, то эффективность перебора наверное упадёт. Ну или владелец заражённой машины что-то заподозрит. Тут главное массовость нужна

Harald ★★★★★
()
Ответ на: комментарий от Legioner

Не будут, всем пофиг.

хы, тут я что-то вспомнил болотную площадь)

darkenshvein ★★★★★
() автор топика
Ответ на: комментарий от darkenshvein

пиши в рассылку OpenSSH, предлагай идею :)

Harald ★★★★★
()
Ответ на: комментарий от Harald

Если, скажем, openssh по дефолту после каждой неудачной попытки будет отправлять в ответ десяток пинг-пакетов большого размера, то эффективность перебора наверное упадёт.

Глупая затея, вы сами себе больнее делаете, загружая сеть которую вам и так уже загаживают.

anc ★★★★★
()
Ответ на: комментарий от Harald

Разницы не играет, быстро не быстро. Просто ваше предложение больше напоминает «Назло маме уши отморожу» :)

anc ★★★★★
()
Ответ на: комментарий от anc

ви предлагаете только методы пассивной защиты?
гм, звучит не очень.
короче, закрывать всё и шифроваться под сетевой камень.

darkenshvein ★★★★★
() автор топика
Ответ на: комментарий от darkenshvein

ви предлагаете только методы пассивной защиты?

Активная вида «один против всех» не сработает. Единственный вариант - письмо на abuse@. Некоторые реагируют. Некоторые реагируют с задержкой, что хоть что-то. Но кто-то и забивает, да. А у некоторых и abuse@ не работает, но это уже клинический случай.

AS ★★★★★
()
Ответ на: комментарий от AS

ну если абьюса (кого там, владельца домена?) не работает, тогда очевидно, надо писать в прокуратуру, с нотариальными скриншотами перебора с этих айпи и уже на гос.уровне запрещать провайдерам эту сеть/диапазон адресов.

darkenshvein ★★★★★
() автор топика
Ответ на: комментарий от darkenshvein

ну если абьюса (кого там, владельца домена?) не работает

Не владельца только, а провайдера (по IP смотреть и иметь ввиду, что даже если это кому-то выданный маленький диапазон, он через кого-то работает). Владельцу домена можно тоже - бывают и вменяемые.

тогда очевидно, надо писать в

Если по IP не находится кто-то, кто может ответить, то тогда всё остальное на уровне писем в газету «Гудок». Хотя мало ли...

AS ★★★★★
()
Ответ на: комментарий от darkenshvein

Смотрите,
1. например вы попали под массовую атаку ботов, у вас и так уже канал может быть забит, а вы тем самым усугубляете его загрузку
2. «притянуто за уши» - боты работают с порутованых систем, т.е. сам владелец тут ка бэ не при делах, и вот например он пишет в abuse на ваши действия, вам блокируют акк/ip и уже вам прийдется доказывать «что я не верблюд, а виноват слоненок»

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.