Antiscan - выявление и блокировка подозрительных IP

[Solomon555]

27 минут назад, FLK сказал:

А вы устанавливали все по инструкции?

Да. Какой пункт в инструкции отключает логи от crond?

[dimon27254]

2 часа назад, Solomon555 сказал:

Удаления аргумента -s из конфига запуска cron не помогает.

После удаления -s вы перезапускали cron?

У себя проверил, после удаления и перезапуска какие-либо записи от cron перестают появляться.

 

[Solomon555]

44 минуты назад, dimon27254 сказал:

 После удаления -s вы перезапускали cron?

Думал, что перезапускал. Но ошибся. После команды "/opt/etc/init.d/S10cron restart" сервис перезапустился и сообщений в логах больше нет. Спасибо большое за помощь.

 

Изменено 15 июня пользователем Solomon555

[dimon27254]

Новая версия 1.5.3.

Исправления:

1) При вызове команды antiscan flush и отключенной геоблокировке отображалось излишнее сообщение о необходимости перезапуска Antiscan.

Изменено 21 июня пользователем dimon27254

[AwesomeWork]

Добрый вечер.

Наружу сейчас торчат порты 22, 80, 443 и еще пару десятков.

Есть ли смысл эти порты защищать данной тулзой или роутер их напрямую пробрасывает до устройства и тулза их не увидит?

[FLK]

В 16.06.2025 в 20:58, AwesomeWork сказал:

Добрый вечер.

Наружу сейчас торчат порты 22, 80, 443 и еще пару десятков.

Есть ли смысл эти порты защищать данной тулзой или роутер их напрямую пробрасывает до устройства и тулза их не увидит?

Если я правильно понял вопрос, то:
Защита устройств, подключенных к роутеру и использующих перенаправление портов (предложено @avn и @kaguyashaa).
Обратите внимание: в "PORTS" необходимо будет указать номер порта устройства (поле "направлять на порт" в веб-интерфейсе), на который направляется трафик, а не номер, который "смотрит" в интернет ("открыть порт").

Изменено 18 июня пользователем FLK

[MDP]

продолжаем продолжать?

Есть предложение..

Возможно ли организовать каким-либо методом, и читать накопленное в lockout-policy  (http ftp ssh ) негодяев, которых наловил сам kinetic за брутфорсинг (естественно на непродолжительное время, у меня они до разбанивания 60 минут там хранятся).

Вот, вы их читаете и добавляете в отдельный ipset и их можно перманентно банить, или с таймаутом длинным..как угодно...

 

Лучше именно отдельным списком их "оформлять" не путать со сканировщиками.

 

Изменено 19 июня пользователем MDP

[dimon27254]

22 минуты назад, MDP сказал:

продолжаем продолжать?

Есть предложение..

Возможно ли организовать каким-либо методом, и читать накопленное в lockout-policy  (http ftp ssh ) негодяев, которых наловил сам kinetic за брутфорсинг (естественно на непродолжительное время, у меня они до разбанивания 60 минут там хранятся).

Вот, вы их читаете и добавляете в отдельный ipset и их можно перманентно банить, или с таймаутом длинным..как угодно...

Интересное предложение, спасибо!

Думаю, что это реализуемо. Однако, какой смысл заводить для них именно отдельный ipset?
Можно скопировать накопленные адреса в уже имеющийся ascn_ips, чтобы применить к ним всю работающую логику Antiscan.

Antiscan будет только считывать адреса из системных списков. Их очисткой займется система самостоятельно в соответствии с установленными правилами в lockout-policy.

Изменено 19 июня пользователем dimon27254

[MDP]

32 минуты назад, dimon27254 сказал:

 

Antiscan будет только считывать адреса из системных списков. Их очисткой займется система самостоятельно в соответствии с установленными правилами в lockout-policy.

Хотелось бы их отличать)))  ...да и так полезно статистику посмотреть, кто за что и как

некоторые есть ответственные пользователи, но по сути настойчивые рукожопы, которые пароль ввести не могут с 3-х попыток.  Что-бы оперативно можно их разбанить. 

 

Но с другой стороны, есть же список исключения!!! 

з.ы.

Да, похоже Вы правы, наверное необязательно делать отдельный список. Для оперативности добавляем в исключение...а потом уже можно руками подрихтовать из общего списка.

Изменено 19 июня пользователем MDP

[dimon27254]

16 минут назад, MDP сказал:

Хотелось бы их отличать))) 

некоторые есть ответственные пользователи, но по сути настойчивые рукожопы, которые пароль ввести не могут с 3-х попыток.  Что-бы оперативно можно их разбанить. 

В таком случае, задачей Antiscan будет просто скопировать записи из системных списков в отдельный ipset, и в соответствии с ним производить блокировку. Повторюсь, очищаться системные списки Antiscan'ом не будут - это работа системы, и вмешиваться в неё я не буду.

Соответственно, если, например, адрес 1.1.1.1 заблокирован по lockout-policy, и затем он же попадает в отдельный ipset, то вам нужно будет его не только вручную удалить из отдельного ipset, но и дождаться, пока "отпустит" система из своих списков.

Функционал чтения системных списков будет по умолчанию выключен.
В ascn.conf сможете его включить, а также установить нужный таймаут - будут отдельные параметры.
Сохранение будет производиться в отдельный файл, располагающийся рядом с ipset_ascn_ips, ipset_ascn_candidates и т.д.

Изменено 19 июня пользователем dimon27254

[MDP]

2 минуты назад, dimon27254 сказал:

Соответственно, если, например, адрес 1.1.1.1 заблокирован по lockout-policy, и затем он же попадает в отдельный ipset, то вам нужно будет его не только вручную удалить из отдельного ipset, но и дождаться, пока "отпустит" система.

Ну и хорошо...60 минут повисит lockout-policy для профилактики..подумает.это нормально!  )))

[FLK]

Мне кажется это некое дублирование штатного функционала...

[MDP]

3 минуты назад, FLK сказал:

Мне кажется это некое дублирование штатного функционала...

Почему?  Штатного функционала кинетика?

Так он непродолжительное время (до 60 минут) блокирует ... надстройка для штатного функционала.

Изменено 19 июня пользователем MDP

[FLK]

4 минуты назад, MDP сказал:

Почему?  Штатного функционала кинетика?

Так он непродолжительное время (до 60 минут) блокирует ... надстройка для штатного функционала.

Я думаю те адреса, которые брутфорсят кинетик, с огромной вероятностью и так будут забанены ascn

Ради интереса можно поискать адреса из лога кинетика в list ips и list subnets

[MDP]

2 минуты назад, FLK сказал:

Я думаю те адреса, которые брутфорсят кинетик, с огромной вероятностью и так будут забанены ascn

Ради интереса можно поискать адреса из лога кинетика в list ips и list subnets

Да...их намного меньше стало...но есть "негодяи" которые целенаправленно подходят к подбору...не создавая множественные подключения. Выглядит всё как штатное подключение.

[FLK]

1 минуту назад, MDP сказал:

Да...их намного меньше стало...но есть "негодяи" которые целенаправленно подходят к подбору...не создавая множественные подключения. Выглядит всё как штатное подключение.

А во время подбора они не с десяток+ подключений создают ли?

[MDP]

В 19.06.2025 в 13:26, FLK сказал:

А во время подбора они не с десяток+ подключений создают ли?

Надо попробовать 22 порт наружу выставить. 

зы

Идут пока мелкие поклёвки...скоро начнётся жор..

Спойлер

Июн 20 13:52:47

ndm

Core::Syslog: the system log has been cleared.

Июн 20 14:00:06

dropbear

Child connection from 184.105.139.69:42962

Июн 20 14:00:06

dropbear

Exit before auth from <184.105.139.69:42962>: Exited normally

Июн 20 14:00:34

dropbear

Child connection from 123.158.60.119:49321

Июн 20 14:00:34

dropbear

Exit before auth from <123.158.60.119:49321>: Exited normally

Июн 20 14:00:42

dropbear

Child connection from 117.15.90.220:28154

Июн 20 14:00:42

dropbear

Exit before auth from <117.15.90.220:28154>: Exited normally

Июн 20 14:00:42

dropbear

Child connection from 221.207.34.250:11177

Июн 20 14:00:42

dropbear

Exit before auth from <221.207.34.250:11177>: Exited normally

Июн 20 14:00:43

dropbear

Child connection from 118.212.121.154:20939

Июн 20 14:00:43

dropbear

Exit before auth from <118.212.121.154:20939>: Exited normally

 

Изменено 20 июня пользователем MDP

[MDP]

В 19.06.2025 в 13:26, FLK сказал:

А во время подбора они не с десяток+ подключений создают ли?

Идут потихоньку...

 

[FLK]

19 минут назад, MDP сказал:

Идут потихоньку...

 

Вполне реально, что эти адреса уйдут в бан как ip или как целая подсеть

Сопоставить результаты из лога с выводом команд:

antiscan list ips/subnets

[MDP]

10 минут назад, FLK сказал:

Вполне реально, что эти адреса уйдут в бан как ip или как целая подсеть

Сопоставить результаты из лога с выводом команд:

antiscan list ips/subnets

... извини не внимательно посмотрел... забанило этот адрес штатными средствами 

[MDP]

22 порт в антискане прописан.

[dimon27254]

@MDP

В ближайшие дни выпущу версию 1.6, протестируете работу в ваших условиях.

[dimon27254]

Новая версия 1.6.

Новое:

1) Чтение системных списков блокировки по брутфорсу (предложил @MDP).
Теперь Antiscan может копировать системные списки ограничения доступа по ip lockout-policy в собственный ipset, для которого вы можете настроить блокировку на постоянной основе или с бОльшим сроком действия, чем это позволяет NDMS. 
Для включения данного функционала установите параметр READ_NDM_LOCKOUT_IPSETS в 1, а также укажите срок хранения записей в LOCKOUT_IPSET_BANTIME.
Обратите внимание: Antiscan использует системные списки только для чтения. Их очисткой NDMS занимается самостоятельно.

Исправления:
1) В выводе команды antiscan list для пустого списка отображалось количество записей, равное 1.

Изменено 21 июня пользователем dimon27254

[MDP]

На первый взгляд работает нормально...для быстроты открыл ещё 23 порт наружу

 

 

[MDP]

С какой периодичностью ip lockout-policy считываются?

...а ну да, где-то минута наверное?

Изменено 21 июня пользователем MDP

[dimon27254]

4 минуты назад, MDP сказал:

С какой периодичностью ip lockout-policy считываются?

...а ну да, где-то минута наверное?

Я сделал 2 минуты. Подправьте задачу в ascn_crontab при необходимости.

[MDP]

Одно только наблюдение, но это уже особенность встроенных средств кинетика

Jun 21 09:07:25 ndm
Info: Netfilter::Lockout::Manager: "Http": ban remote host 127.0.0.1 for 60 minutes.

Jun 21 09:07:25 ndm
Info: Netfilter::Util::Conntrack: flushed 222 IPv4 connections for 127.0.0.1.

 

Короче на всякий случай добавил 127.0.0.1 в исключение... возможно и необязательно. 

[FLK]

Я себе 1.5.3 оставил))) и не парюсь

[MDP]

9 минут назад, FLK сказал:

Я себе 1.5.3 оставил))) и не парюсь

Фича же отключаемая... в ногу надо идти всем! )))

Изменено 21 июня пользователем MDP

[FLK]

5 минут назад, MDP сказал:

Фича же отключаемая... в ногу надо идти всем! )))

Мне она ничем и никак не пригодится. 1.5.3 оттестирована уже мной, меня там все устраивает)