Здравия!
Навалились тут хакеры, туды их в качель. Машина торчит в инет, порт далёк от стандартного. Ничего важного там нет. Настроил fail2ban, заблокировано порядка 1000 адресов. Так вот может есть такое место, куда скинуть логи, адреса, с которых ведётся атака, на предмет обнаружения заинтересованными личностями? Это же бот-сеть, с чужих взломанных машин ломятся?
А на другой машине, порт рядом с этой, тишина.
А сколько адресов потянет iptables?
База взломанных компьютеров и сетевых адресов
Модератор: Bizdelnick
Re: База взломанных компьютеров и сетевых адресов
Да. и (censored) с ними, путь ломают. Кстати, адреса в основном китайские.
Re: База взломанных компьютеров и сетевых адресов
Появилась тема - "пробивает iptables, и у меня похожая не то что проблема, но всё-таки. Пробивается hosts.* В hosts.allow прописано два адреса, всё остальное запрещено. В логах полно записей типа ¨адрес такой-то коннект рефузед". То есть не "неудачная попытка логина", коих было много до прописи в hosts.allow. И всё-таки некоторые адреса иногда банятся fail2ban (не стал его сносить, и как оказалось, правильно, хотя бы для индикации:-)) Это, наверное, fail2ban "перестрахуется", в смысле по ошибке банит, хотя уже неактуально?
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: База взломанных компьютеров и сетевых адресов
Почему «всё-таки»? fail2ban эти самые логи и смотрит, найденное там банит. Что не так?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: База взломанных компьютеров и сетевых адресов
Он банит только при "неудачная попытка логина", при ¨адрес такой-то коннект рефузед" он не должен банить. До ограничения в hosts.* так и было, после - основная масса банов прекратилась, но иногда проскакивают.
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: База взломанных компьютеров и сетевых адресов
https://github.com/fail2ban/fail2ban/blob/0.11.2/config/filter.d/sshd.conf#L50
Они прекратились, потому что большинство ботов перестали долбиться повторно (какой смысл, если всё равно соединение рвётся?), а на единичные попытки fail2ban не реагирует.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: База взломанных компьютеров и сетевых адресов
Bizdelnick
Хорошо, но какой смысл fail2ban-у реагировать на refused, напрягать iptables, если оно всё равно будет refused? До ssh не дойдёт?
Хорошо, но какой смысл fail2ban-у реагировать на refused, напрягать iptables, если оно всё равно будет refused? До ssh не дойдёт?
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: База взломанных компьютеров и сетевых адресов
Как вариант, на случай, если тот же бот примется искать другие дыры. Но лучше задайте этот вопрос разработчикам fail2ban.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |