меня ломает китайская школа интернета

0

1

ну или с их сервака, там еще ижевск какой-то.

домашний комп с левым ip с дин днс через noip (неужели сливает ;)

Mar  3 11:34:32 Nova sshd[16753]: Invalid user henry from 104.40.136.214 port 45778
Mar  3 11:34:32 Nova sshd[16753]: Received disconnect from 104.40.136.214 port 45778:11: Bye Bye [preauth]
Mar  3 11:34:32 Nova sshd[16753]: Disconnected from invalid user henry 104.40.136.214 port 45778 [preauth]
Mar  3 11:35:46 Nova sshd[16772]: Received disconnect from 46.8.183.163 port 58406:11: Bye Bye [preauth]
Mar  3 11:35:46 Nova sshd[16772]: Disconnected from authenticating user root 46.8.183.163 port 58406 [preauth]

есть рулезы для iptables с блоком всех «черных» стран?

Ссылка

←	Китайская Pangu Lab вскрыла уязвимость Bvp47 от АНБ

nft -f main.nft в котором flush ruleset перед правилами опасно делать?

→

Просто поставь fail2ban и настрой его на использование ipset.

/etc/fail2ban/jail.d$ cat sshd-ipset-ipv4.conf 
[sshd]
enabled = true
bantime = 10m
findtime = 10m
maxretry = 5
banaction = iptables-ipset-proto4

targitaj ★★★★★
(03.03.22 11:48:43 MSK)

Модуль geoip же. В параметре прописываются страны.

Я в таких случаях смотрю подсеть через whois и загоняю её в tarpit, пусть долбятся.

alegz ★★★★
(03.03.22 11:54:47 MSK)

Ссылка

Ответ на: комментарий от targitaj 03.03.22 11:48:43 MSK

Nova ~ # fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     122
|  `- File list:        /var/log/messages
`- Actions
   |- Currently banned: 1
   |- Total banned:     1
   `- Banned IP list:   88.198.25.44

~~deity~~ ★★★★
(03.03.22 12:13:05 MSK) автор топика

Ответ на: комментарий от deity 03.03.22 12:13:05 MSK

Параметры в конфиге крути на свой вкус, там вроде всё понятно. Не забудь делать reload.

targitaj ★★★★★
(03.03.22 12:15:16 MSK)

Ответ на: комментарий от targitaj 03.03.22 12:15:16 MSK

годнота

~~deity~~ ★★★★
(03.03.22 12:15:48 MSK) автор топика

Ссылка

Кто сливает? Они брутфорсят по всем возможным айпи-адресам, зачем им с доменами возиться?

firkax ★★★★★
(03.03.22 12:33:30 MSK)

Ответ на: комментарий от firkax 03.03.22 12:33:30 MSK

noip может сливать не?

Я еще в iptables добавил две строчки параноика (китай и гонконг).

iptables -A INPUT -s 45.125.65.0/24 -j DROP
iptables -A INPUT -s 121.4.0.0/16 -j DROP

~~deity~~ ★★★★
(03.03.22 13:09:25 MSK) автор топика

Ответ на: комментарий от targitaj 03.03.22 12:15:16 MSK

слушай, а как банить Invalid user?

Mar  3 13:11:19 Nova sshd[27656]: Invalid user wkiconsole from 82.156.51.162 port 57422
Mar  3 13:11:19 Nova sshd[27656]: Received disconnect from 82.156.51.162 port 57422:11: Bye Bye [preauth]
Mar  3 13:11:19 Nova sshd[27656]: Disconnected from invalid user wkiconsole 82.156.51.162 port 57422 [preauth]

~~deity~~ ★★★★
(03.03.22 13:14:12 MSK) автор топика

Ответ на: комментарий от deity 03.03.22 13:14:12 MSK

Вот это

findtime = 10m
maxretry = 5

крути. То есть, бан происходит, если есть 5 неправильных записей в логе за последние 10 минут с конкретного ip. У тебя в цитате 3 записи. Можно расширить окно поиска и уменьшить количество записей в этом окне. Ну типа 2 фейла за 20 минут с одного ip = бан.

targitaj ★★★★★
(03.03.22 13:27:31 MSK)

Ссылка

bantime = 10m а это срок бана, нормальной практикой является поставить час-сутки. Только сам в бан не попади )))

targitaj ★★★★★
(03.03.22 13:28:26 MSK)

Ссылка

Разбанить ip через консоль от рута

fail2bain-client unban ip

targitaj ★★★★★
(03.03.22 13:31:09 MSK)

Ссылка

Отключить парольную аутентификацию, понизить логгирование и завернуть в какой-нибудь logrotate (чтобы диск не забило).

fail2ban, конечно, хорошо, но совершенно бессмысленно для ssh — подобная атака это банальный подбор пароля, и если отключена парольная аутентификация, то и пробиться они не смогут. Долбиться они всё равно не перестанут.

mord0d ★★★★★
(03.03.22 13:40:32 MSK)

Ссылка

Ответ на: комментарий от deity 03.03.22 13:09:25 MSK

Что он может сливать? Информация о том, что домен deity.no-ip.org ведёт на твой айпи-адрес, бесполезна для взломщиков. Они тупо перебирают всё ай-пи адреса по очереди.

Я еще в iptables добавил две строчки параноика (китай и гонконг).

Подскажу лучше: найти списки диапазонов APNIC и AfriNIC, и все их забань, отсеешь сразу огромное количество бесполезных (в плане целевой аудитории) и вредных (там всё плохо с ит-грамотностью и полно ботнетов) сетей.

А если речь идёт про ssh или ещё что-то исключительно для личного доступа то вообще делай белый список из тех сетей где бываешь.

firkax ★★★★★
(03.03.22 14:01:52 MSK)
Последнее исправление: firkax 03.03.22 14:03:02 MSK (всего исправлений: 1)

Ссылка

port knocking - лучшее решение для ssh.

fail2ban полезен для сервисов которые должны быть доступны всем, а ssh к таким сервисам IMHO не относится.

vel ★★★★★
(03.03.22 16:15:21 MSK)

Ответ на: комментарий от vel 03.03.22 16:15:21 MSK

спасибо не знал, логичная шняга

~~deity~~ ★★★★
(03.03.22 19:38:03 MSK) автор топика

Ответ на: комментарий от deity 03.03.22 19:38:03 MSK

Все придумано до нас (с) Аутентификация по ключу и нестандартный порт. Это более чем достаточно от ботов. А всякие порт кнокинги это такое себе

pavel_l ★
(04.03.22 07:50:13 MSK)

нужен скрипт который ddns и правила с разрешёнными ип обновляет

~~naKovoNapalBaran~~ ★
(04.03.22 09:48:21 MSK)

Ответ на: комментарий от naKovoNapalBaran 04.03.22 09:48:21 MSK

наподобие этого, но тут один ipv4 только, и лучше цепочку целиком сгенерировать и потом ее перезаписать

#!/bin/sh

saddr=$(getent hosts host.ddns.net | awk '{ print $1 }')

nft flush chain inet filter ssh
nft add rule inet filter ssh ip saddr {$saddr} tcp dport 22 accept

~~naKovoNapalBaran~~ ★
(04.03.22 10:41:16 MSK)
Последнее исправление: naKovoNapalBaran 04.03.22 10:50:41 MSK (всего исправлений: 1)

Ответ на: комментарий от pavel_l 04.03.22 07:50:13 MSK

у меня для рута ssh закрыто, и порты тоже перебирают, твой метаногенез такой себе.

Просто какой-то лютый спам моего ssh, сегодня с сеула уже даже ip поменялся у ростелекома, чеза херня

~~deity~~ ★★★★
(04.03.22 12:10:30 MSK) автор топика
Последнее исправление: deity 04.03.22 12:13:35 MSK (всего исправлений: 2)

Ответ на: комментарий от naKovoNapalBaran 04.03.22 10:41:16 MSK

но раз 5минут доступ для новых соединений блокируется на доли секунды(( кто знает как заменить правило с определенным комментарием?

#!/bin/bash

while true
do

	saddr4=$(getent ahostsv4 ipv4.net | grep STREAM | awk '{ print $1 }')
	saddr6=$(getent ahostsv6 ipv6.net | grep STREAM | awk '{ print $1 }')

	nft flush chain inet filter ssh

	if [[ -z "$saddr4" && -z "$saddr6" ]]
	then
		nft add rule inet filter ssh tcp dport 22 accept
	else
		if [[ ! -z "$saddr4" ]]
		then
			nft add rule inet filter ssh ip  saddr {$saddr4} tcp dport 22 accept
		fi

		if [[ ! -z "$saddr6" ]]
		then
			nft add rule inet filter ssh ip6 saddr {$saddr6} tcp dport 22 accept
		fi
	fi

	sleep 300;
done

~~naKovoNapalBaran~~ ★
(04.03.22 12:58:55 MSK)
Последнее исправление: naKovoNapalBaran 04.03.22 13:17:29 MSK (всего исправлений: 4)

Ответ на: комментарий от naKovoNapalBaran 04.03.22 12:58:55 MSK

Изменение правил - это очень дорого и долго.

В твоем случае сначала должно быть правило разрешающее пакеты по установленным соединениям, т.к. в промежуток между flush и add будет дропаться весь трафик на 22 порт.

Вообще для этих целей нужно использовать ipset, который в nft встроенный.

в ipset можно добавлять комментарии

vel ★★★★★
(04.03.22 16:43:21 MSK)

Ссылка

Ответ на: комментарий от deity 04.03.22 12:10:30 MSK

твой метаногенез такой себе.

Ой, прекрати, что ты делаешь?! Еще одну такую искрометную шутку я не переживу.

Просто какой-то лютый спам моего ssh

Что значит лютый? Создает заметную нагрузку на сервер?

Если просто знание того, что на сервер боты ломятся спать мешает используй тот же ipset он в списки умеет в которые можно добавлять подсети и вроде как быстрее цепочек iptables

pavel_l ★
(04.03.22 18:04:25 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Китайская Pangu Lab вскрыла уязвимость Bvp47 от АНБ

Security

nft -f main.nft в котором flush ruleset перед правилами опасно делать?

→

Похожие темы