LINUX.ORG.RU
ФорумTalks

Любителям перевешивать ssh на другой порт

 


1

1

Серверу один день. Глянул интереса ради

94.191.44.208 - - [19/Feb/2019:16:12:39 +0600] "GET /cacti/plugins/weathermap/editor.php HTTP/1.1" 404 169 "-" "Mozilla/5.0 (Windows NT
94.191.44.208 - - [19/Feb/2019:16:12:39 +0600] "POST /wuwu11.php HTTP/1.1" 404 571 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537
94.191.44.208 - - [19/Feb/2019:16:12:39 +0600] "POST /xw.php HTTP/1.1" 404 571 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36
94.191.44.208 - - [19/Feb/2019:16:12:40 +0600] "POST /xw1.php HTTP/1.1" 404 571 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36
94.191.44.208 - - [19/Feb/2019:16:12:42 +0600] "POST /9678.php HTTP/1.1" 404 571 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.3
94.191.44.208 - - [19/Feb/2019:16:12:43 +0600] "POST /wc.php HTTP/1.1" 404 571 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36
149.202.191.218 - - [19/Feb/2019:16:12:43 +0600] "\x15\x03\x01\x00\x02\x02P" 400 173 "-" "-" "-"
149.202.191.218 - - [19/Feb/2019:16:12:43 +0600] "\x15\x03\x01\x00\x02\x02P" 400 173 "-" "-" "-"
и такого сотни. На какой порт nginx перевешиваете? :)

★★★★★

Последнее исправление: Legioner (всего исправлений: 1)

Чтоэта? Каким боком лог nginx к ssh?

То, что боты срут HTTP-запросами в любой открытый порт, давно не новость, но что вы имеете против перевешивания ssh?

quwy
()
Ответ на: комментарий от quwy

То, что боты срут HTTP-запросами

И не только HTTP запросами. У меня в VPS'ки срут вообще всем чем только можно во все открытые порты. Видимо, постоянно кто-то сканирует сервисы на известные уязвимости. Пытался дампить входящий траффик - наряду с HTTP, также часто вижу какие-то странные SSL\TLS хэндшейки.

Настолько уже задолбался со всем этим, что подумываю даже написать на коленке небольшую TCP проксю, которая будет детектить подозрительную активность и блокировать уродов через fail2ban.

DawnCaster ★★
()

На какой порт nginx перевешиваете?

На 22.

h578b1bde ★☆
()

Будь мужиком! Просканируй ботов на уязвимости.

crutch_master ★★★★★
()
Ответ на: комментарий от quwy

То, что боты срут HTTP-запросами в любой открытый порт, давно не новость, но что вы имеете против перевешивания ssh?

Ну после вдумчивого чтения дискуссий единственный разумный аргумент сторонников перевешивания это то, что логи информативней, типа если кто-то стучится, значит это точно не спроста (фиг знает, что они будут делать, после того, как всё-таки постучится на нестандартный порт, опять менять?). А тут в хттп логах прямо таки адъ и израиль творится. Странно, что ещё голых баб псевдографикой не рисуют.

Legioner ★★★★★
() автор топика
Ответ на: комментарий от Legioner

фиг знает, что они будут делать, после того, как всё-таки постучится на нестандартный порт

Port knocking.

h578b1bde ★☆
()
Ответ на: комментарий от DawnCaster

Настолько уже задолбался со всем этим

httpd modsecurity? i just don't care. мне перевешивание всегда казалось хорошей идеей. другое дело гуглботы. им ссылки присылают гугл-хромы у легитимных пользователей...

crypt ★★★★★
()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от DawnCaster

За ботами стоят реальные люди. Вероятно в самих троянах куча уязвимостей, можно распутать и наказать

Deleted
()

А зачем вообще что-то делать? Пусть стучатся.

Deleted
()
Ответ на: комментарий от Miguel

Порт может быть заблокирован провайдером.

Такой случай понятен, но в треде явно не о нем речь.

Deleted
()
Ответ на: комментарий от Rastafarra

Странно, что ещё голых баб псевдографикой не рисуют.

блин, а это мысль!

Нарисовать кому-нибудь ЦП псевдографикой в логе nginx и сообщить в органы.

Pacmu3ka
()
Ответ на: комментарий от RiseOfDeath

Я уже даже «порнофильм» нарисованный ASCII графикой видел.

«уже» они были лет 15 назад, школота ;)

Rastafarra ★★★★
()
Ответ на: комментарий от kirk_johnson

Отключи парольную аутентификацию и не логируй все, что не ключи. Логи становятся чище :)

Или можно просто сменить порт.

h578b1bde ★☆
()
Ответ на: комментарий от quwy

но что вы имеете против перевешивания ssh?

Просто ненужное действие.

Unicode4all ★★★★★
()

На какой порт nginx перевешиваете?

В вебе вместо этого используют нестандартные урлы. Какой-нибудь /odmin для админки и всё такое

MrClon ★★★★★
()

И в iptables была замечательная штука mirror :)

vasya_pupkin ★★★★★
()

На какой порт nginx перевешиваете? :)

Так страшно, что вообще его не запускаю. :)

turtle_bazon ★★★★★
()
Ответ на: комментарий от quwy

но что вы имеете против перевешивания ssh?

Если рядом не начинают кричать в ухо, что так безопаснее, то ничего не имею против. Каждый как умеет.

turtle_bazon ★★★★★
()
Ответ на: комментарий от Legioner

если кто-то стучится, значит это точно не спроста

Открытые порты с типом сервиса nmap анализирует движением левой пятки. Конечно, не все боты такие умные, но и таких тоже очень много.

turtle_bazon ★★★★★
()
Ответ на: комментарий от kirk_johnson

Это тупо. Нестандартные порты для геев.

У тебя какие-то комплексы на этот счёт. Здесь ЛОР, кабинеты психолога и сексолога дальше по коридору.

h578b1bde ★☆
()
Ответ на: комментарий от MrClon

Этож сколько ботов надо чтобы создать ощутимую нагрузку?

Да в том и прикол, что он уже от полезной нагрузки умирает.

turtle_bazon ★★★★★
()
Ответ на: комментарий от turtle_bazon

А, в смысле с http? Я про ssh подумал. Ну там да

MrClon ★★★★★
()
Ответ на: комментарий от h578b1bde

Ну да. Если девушка занимается анальным сексом — это же не значит что она гей.

Как связаны порты и анальный секс? Наркоман штоле?

kirk_johnson ★☆
()
Ответ на: комментарий от h578b1bde

Точно так же как и нестандартные порты с геями.

Когда ты в очередной раз забываешь, какой же порт придумал для SSH твой всратый коллега, очень хочется назвать его премерзким геем. А какая твоя отмазка?

kirk_johnson ★☆
()
Ответ на: комментарий от kirk_johnson

Когда ты в очередной раз забываешь, какой же порт придумал для SSH твой всратый коллега, очень хочется назвать его премерзким геем. А какая твоя отмазка?

Тренируй память и не ной.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

Тренируй память и не ной.

Это из серии «зачем проксировать сервис с веб-интерфейсом, если можно заучить порт»? За что вы все себя так ненавидите?

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 1)
Ответ на: комментарий от h578b1bde

Хорошая память — штука весьма полезная и помогает не только лишь в запоминании номеров портов.

Создавая себе неудобства на ровном месте, ты память тренируешь? Не смеши.

kirk_johnson ★☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.