+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Атакуют наш MT роутер?

Атакуют наш MT роутер?, RouterOS

kvan64

Guest

06.10.2007 21:38:00

Привет, последние несколько дней каждый раз, когда я открываю новый терминал, я вижу список критических неудач входа для несуществующих имен пользователей. Иногда кажется, что там тысячи таких сообщений (не показано). Это какая-то атака? Что мне делать? Смотри ниже:

MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK

MikroTik RouterOS 3.0rc6 © 1999-2007 http://www.mikrotik.com/
(3124 messages not shown)
oct/07/2007 06:23:51 system,error,critical login failure for user httpd from 213.21.208.164 via ssh
oct/07/2007 06:23:55 system,error,critical login failure for user pop from 213.2 1.208.164 via ssh
oct/07/2007 06:24:00 system,error,critical login failure for user nobody from 213.21.208.164 via ssh
oct/07/2007 06:24:03 system,error,critical login failure for user root from 213. 21.208.164 via ssh
oct/07/2007 06:24:12 system,error,critical login failure for user backup from 213.21.208.164 via ssh
oct/07/2007 06:24:17 system,error,critical login failure for user info from 213. 21.208.164 via ssh
oct/07/2007 06:24:20 system,error,critical login failure for user shop from 213. 21.208.164 via ssh
oct/07/2007 06:24:24 system,error,critical login failure for user sales from 213 .21.208.164 via ssh

Terminal vt102 detected, using multiline input mode
[admin@MikroTik] >

amt Guest	#2 0 01.07.2016 10:15:00 Привет, проверь вот это: http://joshaven.com/resources/tricks/mikrotik-automatically-updated-address-list/

Repla Guest	#3 0 05.08.2008 22:45:00 Как они вообще узнают, что я только что установил новую копию RouterOS? Они ищут во всем интернете? Или мой сервер отправляет какие-то пакеты? Или они узнают это с форумов???

0ldman Guest	#4 0 06.08.2008 02:26:00 Обычно просто случайное сканирование портов. Местная кабельная компания получала мощную атаку, а мой подсеть отличается всего на пару цифр, и вскоре меня тоже затронуло.

kameelperdza Guest	#5 0 13.09.2012 08:13:00 Я кое-что сделал: заменил критическое логирование с `echo` на запись в файл. Так мне проще отслеживать, сколько раз конкретный IP-адрес пытается подключиться.

Hotz1

Guest

13.09.2012 13:35:00

Если хочешь логировать все последующие попытки входа с заблокированных адресов, поставь это выше правила "action=drop": /ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklisted action=log log-prefix=SSH-blacklisted comment="log blacklisted ssh brute forcers" disabled=no

kameelperdza

Guest

13.09.2012 14:16:00

Я тоже пробовал использовать подобные правила, но они выдают слишком много информации, которая мне не нужна. Мне просто нужно видеть IP-адрес и количество попыток. Вот что я обычно вижу с упомянутым правилом:
Sep/13/2012 16:08:37 route,ospf,debug ssh_blacklist (input): RECV: Hello <- 172.16.0.1 on ether2 (172.16.0.200)
Sep/13/2012 16:08:37 route,ospf,debug,raw ssh_blacklist (input): PACKET:
Sep/13/2012 16:08:37 route,ospf,debug,raw ssh_blacklist (input): 45 C0 00 54 20 97 00 00 01 59 0B E4 AC 10 00 01
Sep/13/2012 16:08:37 route,ospf,debug,raw ssh_blacklist (input): E0 00 00 05 02 01 00 30 0A 00 00 01 AC 10 00 00
Sep/13/2012 16:08:37 route,ospf,debug,raw ssh_blacklist (input): 00 00 00 02 00 00 01 10 00 00 0B 77 FF FF FF 00
Sep/13/2012 16:08:37 route,ospf,debug,raw ssh_blacklist (input): 00 0A 02 01 00 00 00 28 00 00 00 00 00 00 00 00
Sep/13/2012 16:08:37 route,ospf,debug,raw ssh_blacklist (input): AC 10 00 C8 B0 6E EF 95 5C 8B 55 2B EE CD 0F 49
Sep/13/2012 16:08:37 route,ospf,debug,raw ssh_blacklist (input): 70 B1 8B 29
Sep/13/2012 16:08:37 route,ospf,debug ssh_blacklist (input): received options: E
Sep/13/2012 16:08:38 pptp,debug,packet ssh_blacklist (input): rcvd Echo-Request from 10.0.0.2
Sep/13/2012 16:08:38 pptp,debug,packet ssh_blacklist (input): identifier=15
Sep/13/2012 16:08:38 pptp,debug,packet ssh_blacklist (input): sent Echo-Reply to 10.0.0.2
Sep/13/2012 16:08:38 pptp,debug,packet ssh_blacklist (input): identifier=15
Sep/13/2012 16:08:38 pptp,debug,packet ssh_blacklist (input): result-code=1
Sep/13/2012 16:08:38 pptp,debug,packet ssh_blacklist (input): error-code=0

francisuk24 Guest	#8 0 17.03.2014 22:15:00 Я тут новенький в RouterOS и у меня вопрос. Если я хочу добавить список "http://www.spamhaus.org/drop/drop.txt", как это лучше сделать?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры