База взломанных компьютеров и сетевых адресов

Для новичков как вообще в Linux, так и в конкретной теме, к которой относится вопрос.

Модератор: Bizdelnick

Аватара пользователя
yoricI
Сообщения: 1443
ОС: gentoo fluxbox

База взломанных компьютеров и сетевых адресов

Сообщение yoricI »

Здравия!
Навалились тут хакеры, туды их в качель. Машина торчит в инет, порт далёк от стандартного. Ничего важного там нет. Настроил fail2ban, заблокировано порядка 1000 адресов. Так вот может есть такое место, куда скинуть логи, адреса, с которых ведётся атака, на предмет обнаружения заинтересованными личностями? Это же бот-сеть, с чужих взломанных машин ломятся?

А на другой машине, порт рядом с этой, тишина.
А сколько адресов потянет iptables?
Спасибо сказали:

Аватара пользователя
s.xbatob
Сообщения: 1137
ОС: Fedora

Re: База взломанных компьютеров и сетевых адресов

Сообщение s.xbatob »

Да. и (censored) с ними, путь ломают. Кстати, адреса в основном китайские.
Спасибо сказали:

Аватара пользователя
yoricI
Сообщения: 1443
ОС: gentoo fluxbox

Re: База взломанных компьютеров и сетевых адресов

Сообщение yoricI »

Появилась тема - "пробивает iptables, и у меня похожая не то что проблема, но всё-таки. Пробивается hosts.* В hosts.allow прописано два адреса, всё остальное запрещено. В логах полно записей типа ¨адрес такой-то коннект рефузед". То есть не "неудачная попытка логина", коих было много до прописи в hosts.allow. И всё-таки некоторые адреса иногда банятся fail2ban (не стал его сносить, и как оказалось, правильно, хотя бы для индикации:-)) Это, наверное, fail2ban "перестрахуется", в смысле по ошибке банит, хотя уже неактуально?
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 18483
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: База взломанных компьютеров и сетевых адресов

Сообщение Bizdelnick »

yoricI писал:
09.04.2021 12:14
В логах полно записей типа ¨адрес такой-то коннект рефузед". То есть не "неудачная попытка логина", коих было много до прописи в hosts.allow. И всё-таки некоторые адреса иногда банятся fail2ban
Почему «всё-таки»? fail2ban эти самые логи и смотрит, найденное там банит. Что не так?
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
yoricI
Сообщения: 1443
ОС: gentoo fluxbox

Re: База взломанных компьютеров и сетевых адресов

Сообщение yoricI »

Bizdelnick писал:
09.04.2021 14:10
Что не так?
Он банит только при "неудачная попытка логина", при ¨адрес такой-то коннект рефузед" он не должен банить. До ограничения в hosts.* так и было, после - основная масса банов прекратилась, но иногда проскакивают.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 18483
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: База взломанных компьютеров и сетевых адресов

Сообщение Bizdelnick »

yoricI писал:
09.04.2021 16:57
Он банит только при "неудачная попытка логина", при ¨адрес такой-то коннект рефузед" он не должен банить.
https://github.com/fail2ban/fail2ban/blob/0.11.2/config/filter.d/sshd.conf#L50
yoricI писал:
09.04.2021 16:57
До ограничения в hosts.* так и было, после - основная масса банов прекратилась, но иногда проскакивают.
Они прекратились, потому что большинство ботов перестали долбиться повторно (какой смысл, если всё равно соединение рвётся?), а на единичные попытки fail2ban не реагирует.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
yoricI
Сообщения: 1443
ОС: gentoo fluxbox

Re: База взломанных компьютеров и сетевых адресов

Сообщение yoricI »

Bizdelnick
Хорошо, но какой смысл fail2ban-у реагировать на refused, напрягать iptables, если оно всё равно будет refused? До ssh не дойдёт?
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 18483
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: База взломанных компьютеров и сетевых адресов

Сообщение Bizdelnick »

yoricI писал:
09.04.2021 17:54
Хорошо, но какой смысл fail2ban-у реагировать на refused, напрягать iptables, если оно всё равно будет refused? До ssh не дойдёт?
Как вариант, на случай, если тот же бот примется искать другие дыры. Но лучше задайте этот вопрос разработчикам fail2ban.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали: