в файле /var/log/auth.log толпы ботов

Продай в спортлото.

И настрой что-то чтоб они не засоряли тебе логи. Например, fail2ban или смени порт с 22 на другой. А среди этого мусора можно что-нить важное не заметить.

«Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ (ред. от 28.04.2023)

УК РФ Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, -

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

fail2ban

А почему я должен их игнорировать, может есть подпольные хакерские группировки, которым нужны адреса уязвимых компьютеров?

Не стоит их воспринимать как субъектов каких-то действий. Это просто фоновый информационный шум, который всегда присутствует в инете. Или считай их аналогом всяких вредоносных микроорганизмов, которые нас окружают, в т.ч. летая в воздухе. Ты ж не пишешь заявление на бактерию, которая пыталась тебя заразить, но была сожрана иммунитетом?

Если у тебя плохой пароль или какая-то баянистая дыра - боты этим воспользуются и продолжат размножаться уже с твоего компа. Так что следи чтоб такого не происходило, а от этих ботов главный вред - это спам в логах.

Инициатора их существования искать не нужно, тем более что он может сидеть где-нить в Китае или ещё дальше (точнее, этих инициаторов тысячи по всему миру, и они постоянно меняются, и внимания не заслуживают, а возни будет невообразимо много с их выслеживанием). А айпи-адреса, с которых тебя сканируют - это на 99% тоже их жертвы, у которых ssh-пароли оказались плохими.

Предпочтительный метод борьбы с ними - это отобрать у них еду (уязвимые хосты в сети). Можешь например вести агитацию за скорейший фикс (или законодательный запрет) дырявых роутеров. Или выпусти своего бота, который будет всех сканировать и фиксить (или просто выключать) устройства, которые получилось взломать.

А почему я должен их игнорировать, может есть подпольные хакерские группировки, которым нужны адреса уязвимых компьютеров?

Чтобы собрать эти адреса, достаточно так же как ты выставить 22 порт в интернет и пособирать статистику в течение месяца. Или можно выставить 100 22-й портов на разных айпи-адресах.

Инициатора их существования искать не нужно

Я не согласен с этим утверждением. Отрывать руки надо пока они ещё короткие.

Ну и я не умею настраивать fail2ban. В рандомной статье не мой случай: https://putty.org.ru/articles/fail2ban-ssh.html а читать документацию это долго и сложно, там буквы.

В идеале я бы хотел, чтобы:

1. забаненные адреса записывались в файлы по странам (а значит без чтения документации по geoip не обойдётся)
2. чтобы банилось с первого раза на неограниченное время (навсегда)
3. чтобы существовал сервис, на котором можно было разбаниться, если так забанят меня :)
   Интересно, существует ли какой-нибудь блокчейн на эту тему?

В идеале я бы хотел, чтобы:

Глубоко уходить в анализ этого спама тоже незачем, если ты только не ИБ-контора. Опять же, затрат много, пользы мало. Банить навсегда смысла нет, айпи-адреса обычно часто меняются. Чтобы не взломали - делай авторизацию по ключам (ну или ключ+пароль), а чтобы не спамили логи попытками авторизоваться - можно банить на сутки. И кстати с авторизацией по ключам тебя не забанят, ведь в них невозможно ошибиться.

Ещё можно превентивно забанить по диапазонам всякие ARIN/APNIC/AfriNIC/LACNIC если ты только не собираешься ехать в соответствующие страны. А то и вообще, оставить белый список адресов, которые у тебя могут оказаться.

Если сделать из этого блокчейн, то можно заработать деньги. Proof-Of-Work же есть - обнаружен IP-адрес, который пытался вломиться. Можно будет сверять, сколько раз уже этот IP конектился к разным другим компам. Можно будет «отбеливать» адрес за крипту.

Замути ssh jail мамкиным какирам.

Outpost firewall с вопросом «блокировать или пропустить?» на каждое соединение ещё живёт в некоторых сердцах, похоже :)

Ну и я не умею настраивать fail2ban. а читать документацию это долго и сложно, там буквы.

Научись.

В идеале я бы хотел, чтобы

В Job.

Утилиты с GUI всегда были слабым местом опенсорса.

Tui хватит всем!

Нет, просто люди, не умеющие думать системно всегда были слабым местом. В т.ч. и опенсорса.

Чем несистемна моя мегаидея?

Замути ssh jail мамкиным какирам.

И что дальше? Вот допустим, они подобрали пароль к такому ssh в jail (например пароль был пустым или простым).

Что дальше?

Подключить их к ChatGPT? Или что сделать?

Реализация, причём не через модный блокчейн, давно есть, CrowdSec.

Мне её ещё не советовали.

https://habr.com/en/companies/vdsina/articles/521518/

Как же хорошо, что я не начал изучать fail2ban. Сэкономил кучу времени.

Список ТОР-нод и так у всех есть, никому ты его не продашь, и даже не подаришь.

По теме: смени порт с 22 на какой-нибудь другой, меньше ботов будет ломиться. Если хочется, чтоб совсем не ломились, настрой port-knocking.

Как же хорошо, что я не начал изучать fail2ban. Сэкономил кучу времени.

Я даже без понятия, куда ты будешь девать такую прорву времени как 1 час.

Из пушки по воробьям. Списки известных IP выходных нод Tor, а также всех датацентров, предоставляющих VPS и VPN, и так доступны.

причём не через модный блокчейн

Зато там получается единая точка отказа в французской компании. Если был бы блокчейн, такой фигни бы не было.

Из пушки по воробьям.

Да это вообще неработающий способ.

«CrowdSec использует несколько механизмов: Один из них заключается в том, что IP-адрес должен храниться в нашей базе данных только в течение 72 часов. Если этот IP не показал никаких признаков дальнейшей агрессивности с этим периодом, мы считаем, что он был очищен, или что это был переменный IP, и он удален из блок-листа.»

Как задетектить все сетапы клиентской части этой программы и больше не попадаться:

1. коннектимся к рандомному адресу
2. смотрим, не оказались ли в базе
3. если оказались - заносим адрес в список стукачей (сетапов crowdsec) и больше туда не ходим
4. ждём 72 часа
5. и с чистой совестью по всем другим адресам, где стукачей нет - ломимся со всей дури

Можно ли эту информацию выпарсить sed-ом и кому-нибудь продать?

Да. Распечатываете и идете с распечаткой в ближайший пункт приема макулатуры.

Что будет, если подать заявление в полицию РФ с требованием устранить незаконный доступ к компьютерным системам (статья там какая-то есть в законодательстве) и попросить возбудить по делу на каждый айпи-адрес?

Если пострадавшие вас найдут, то могут лицо поправить.

Есть, но к ip которые вы видите они непосредственного отношения не имеют. man вирусы, man botnet

Ну и я не умею настраивать fail2ban.
а читать документацию это долго и сложно, там буквы.
В идеале я бы хотел, чтобы

Пишите в Job.

А то и вообще, оставить белый список адресов, которые у тебя могут оказаться.

+1 И поднять какой-нидь vpn сервер если понадобится доступ из другого места.

Почему именно VPN-сервер? Он же отдельная дыра.

Почему бы например не сделать web-приложение с HTTPs, на которое командой wget отправляешь пароль (его не будет видно, потому что https), а он разрешает коннектиться к SSH-порту на минуту.

Сертификаты, конечно надо обноавлять автоматизированно certbot-ом.

Почему именно VPN-сервер? Он же отдельная дыра.

Дыра в чем именно выражается?

Почему бы например не сделать web-приложение с HTTPs, на которое командой wget отправляешь пароль (его не будет видно, потому что https), а он разрешает коннектиться к SSH-порту на минуту.

Это вы port knocking пытаетесь изобрести?

Мой вариант лучше. В Port knocking надо ещё уникальную схему придумывать. А в HTTPs всё и так защищено.

не горячись, … смирись с реальностью и забудь.

Меня удивляет вот такая пропаганда пораженчества.
С такими как вы человечество даже Луну не заселит…

Легально ли это будет?

Их IP-адреса они мне прислали добровольно!

Мой вариант лучше.

Ваш вариант и есть одна из реализаций port knocking.

Их IP-адреса они мне прислали добровольно!

Это на самом деле ничего не меняет. Если тебе кто-то показал паспорт (добровольно), ещё не значит что можно с него сделать дубликат и продать кому-нибудь 😸 В европках IP адрес вроде как попадает под персональные данные из-за GDPR, в эрефии - с этим сложнее, закон на эту тему очень мутный, может попадать а может и не попадать.

Что будет, если подать заявление в полицию РФ с требованием устранить незаконный доступ к компьютерным системам

Очевидно, будет возбуждено уголовное дело, в рамках расследования которого будет выявлена и арестована группа лиц, занимающаяся противоправными действиями. Далее суд назначит им справедливое наказание, а другие неблагонадежные лица, узнав об этом, передумают становиться на скользкую дорожку киберпреступности.

Что будет, если подать заявление в полицию РФ с требованием устранить незаконный доступ к компьютерным системам

А неча выставлять компьютерные системы в общедоступный интернет

если подать заявление в полицию РФ с требованием устранить незаконный доступ к компьютерным системам

Так доступа же не произошло! Логи об отказах в авторизации. Где написано, что к твоему серваку никто посторонний не имеет права попытаться подключиться?

я не умею настраивать fail2ban

читать документацию это долго и сложно, там буквы

Звучит как «я идиот», если честно :)

сгенерить ключик по длиннее и посложнее апосля забить болт на все ихние попытки.

Ну и я не умею настраивать fail2ban.

Картина маслом: пердолился с разной ерундой, типа всякой дичи в latex и xml, устал, и теперь уже не хочется разбиратся в чем-то более полезном)

Там всего три варианта - RSA, ecdsa от врагов с дырами на ГСЧ, и 256-битная кривая.

Ни один из этих вариантов не спасает от хроноквантовой атаки.

мой милый неуловимый джо, когда на тебя попрут с квантовой подбиралкой наголо, тогда и поговорим :)