Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

keenetic_ultra nginx

Phaeton

Ответ от Phaeton,

 Поделиться

Вопрос

Phaeton Пользователь

Phaeton

Опубликовано
Опубликовано

В последнюю неделю заметил странные красные записи в журнале. Причем адреса и время попытки подключения каждый раз разные (например 185.92.72.16 , 46.147.47.125), но вводимые имена user каждый раз повторяются и попытки осуществляются через каждые 3 секунды в течение 3-5 минут. Есть подозрение на попытку подключиться извне. Роутер Ultra II, прошивка v2.07(AAUX.2)B2 Есть мнение что это может быть?

Aug 09 08:40:04keenetic_ultra nginx

(conn: *43363) user "admin": password mismatch, client: 94.50.0.87

Aug 09 08:40:07keenetic_ultra nginx

(conn: *43364) user "admin": password mismatch, client: 94.50.0.87

Aug 09 08:40:10keenetic_ultra nginx

(conn: *43365) user "admin": password mismatch, client: 94.50.0.87

Aug 09 08:40:13keenetic_ultra nginx

(conn: *43366) user "admin": password mismatch, client: 94.50.0.87

Aug 09 08:40:16keenetic_ultra nginx

(conn: *43367) user "Admin" was not found in config, client: 94.50.0.87

Aug 09 08:40:20keenetic_ultra nginx

(conn: *43368) user "root" was not found in config, client: 94.50.0.87

Aug 09 08:40:23keenetic_ultra nginx

(conn: *43369) user "root" was not found in config, client: 94.50.0.87

Aug 09 08:40:26keenetic_ultra nginx

(conn: *43370) user "root" was not found in config, client: 94.50.0.87

Aug 09 08:40:30keenetic_ultra nginx

(conn: *43371) user "root" was not found in config, client: 94.50.0.87

Aug 09 08:40:33keenetic_ultra nginx

(conn: *43372) user "admin": password mismatch, client: 94.50.0.87

Aug 09 08:40:45keenetic_ultra nginx

(conn: *43373) user "admin": password mismatch, client: 94.50.0.87

Aug 09 08:40:48keenetic_ultra nginx

(conn: *43374) user "admin": password mismatch, client: 94.50.0.87

Aug 09 08:40:52keenetic_ultra nginx

(conn: *43375) user "admin": password mismatch, client: 94.50.0.87

Aug 09 08:40:55keenetic_ultra nginx

(conn: *43376) user "airlive" was not found in config, client: 94.50.0.87

Aug 09 08:40:58keenetic_ultra nginx

(conn: *43377) user "support" was not found in config, client: 94.50.0.87

Aug 09 08:41:02keenetic_ultra nginx

(conn: *43378) user "support" was not found in config, client: 94.50.0.87

Aug 09 08:41:05keenetic_ultra nginx

(conn: *43379) user "super" was not found in config, client: 94.50.0.87

Aug 09 08:41:08keenetic_ultra nginx

(conn: *43380) user "super" was not found in config, client: 94.50.0.87

Aug 09 08:41:11keenetic_ultra nginx

(conn: *43381) user "super" was not found in config, client: 94.50.0.87

Aug 09 08:41:14keenetic_ultra nginx

(conn: *43382) user "admin": password mismatch, client: 94.50.0.87

Aug 09 08:41:17keenetic_ultra nginx

(conn: *43383) user "super" was not found in config, client: 94.50.0.87

Aug 09 08:41:21keenetic_ultra nginx

(conn: *43384) user "admin": password mismatch, client: 94.50.0.87

Aug 09 08:41:30keenetic_ultra nginx

(conn: *43385) user "mts" was not found in config, client: 94.50.0.87

Aug 09 08:41:33keenetic_ultra nginx

(conn: *43386) user "telecomadmin" was not found in config, client: 94.50.0.87

Aug 09 08:41:36keenetic_ultra nginx

(conn: *43387) user "mgts" was not found in config, client: 94.50.0.87

Aug 09 08:41:39keenetic_ultra nginx

(conn: *43388) user "admin": password mismatch, client: 94.50.0.87

26 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
Phaeton Пользователь

Phaeton

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо большое! Про Дом.Ru я еще как-то могу понять, поскольку это мой провайдер (но зачем???). Как вариант - удаленная диагностика оборудования, поскольку ранее роутер был от них и проводить диагностику клиентской линии они могли вообще никого не уведомляя. Но тогда это должен быть один и тот же ip. Кстати, не указал в предыдущем посте, что имею белый ip, но пока нет ни FTP, ни чего либо еще, что могло бы скомпрометировать данные.

Изменено пользователем Phaeton
  • 0
Deshunin Sergey Старожил

Deshunin Sergey

Опубликовано
Опубликовано

В логе, который вы выложили, с Ростелекома долбились с одного ИП - 94.50.0.87. Долбились какой-то прогой, потому что в ручную перебирать логины/пароли с такой скоростью невозможно. Это точно робот долбится.

  • 0
ndm Старожил

ndm

Опубликовано
Опубликовано

Мы включили запись в лог. Раньше так же долбились, но вы не видели. Теперь думаем, хорошо бы он банил самых назойливых по IP-адресам на 10-15 минут, как считаете?

  • Спасибо 5
  • 0
KorDen Старожил

KorDen

Опубликовано
Опубликовано
  В 09.08.2016 в 14:54, ndm сказал:

Мы включили запись в лог. Раньше так же долбились, но вы не видели. Теперь думаем, хорошо бы он банил самых назойливых по IP-адресам на 10-15 минут, как считаете?

Показать  

С одной стороны, было бы хорошо, например 5 попыток за минуту - бан на 15 минут, в идеале настраиваемо или хотя бы отключаемо. Опционально - аналогичный функционал для внутренних сегментов, отключаемо индивидуально для каждого сегмента (например разрешить доступ к роутеру с гостевого сегмента, но с проверкой на перебор)

С другой стороны, у меня сейчас есть предположение о наличии какого-то бага с авторизацией, никак не возьмусь протестировать - после перезагрузки роутер может перезапросить пароль дважды-трижды, при этом в логах отображается что был введен неверный - хотя конечно могу и я ошибаться, но не так систематически же. Из-за автообновления страниц можно легко себя так забанить.

  • 0
ndm Старожил

ndm

Опубликовано
Опубликовано
  В 09.08.2016 в 15:28, KorDen сказал:

есть предположение о наличии какого-то бага с авторизацией, никак не возьмусь протестировать

Показать  

Как будете тестировать, посмотрите, появляются ли в логе записи password mismatch. Если их нет, то не забанит.

  • Спасибо 1
  • 0
KorDen Старожил

KorDen

Опубликовано
Опубликовано
  В 09.08.2016 в 16:05, ndm сказал:

Как будете тестировать, посмотрите, появляются ли в логе записи password mismatch. Если их нет, то не забанит.

Показать  

Как я сказал ("при этом в логах отображается что был введен неверный") - строчки такие были. Другой вопрос, что я пока не разобрался, это браузер пытался отправить пароль как-то странно (может скажу бред, но с http auth знаком очень поверхностно - может браузер отправляет старую сессию, а роутер это считал за неверный пароль, и выдавал форму авторизации - но это отражалось в логах), или расширение какое умничает, или я действительно не с первого раза вводил правильный пароль. Сейчас пока воспроизвести не удалось.

  • 0
Phaeton Пользователь

Phaeton

Опубликовано
  • Автор
Опубликовано

Добрый день! Буквально только что проверил журнал и обнаружил:

Aug 10 05:12:11keenetic_ultra nginx
(conn: *49321) user "ZXDSL" was not found in config, client: 89.163.242.91
Aug 10 05:12:15keenetic_ultra nginx
(conn: *49322) user "Cisco" was not found in config, client: 89.163.242.91
Aug 10 05:12:18keenetic_ultra nginx
(conn: *49323) user "cisco" was not found in config, client: 89.163.242.91
Aug 10 05:12:21keenetic_ultra nginx
(conn: *49324) user "admin": password mismatch, client: 89.163.242.91

 

Aug 10 08:13:49keenetic_ultra nginx
(conn: *49369) user "airlive" was not found in config, client: 5.141.8.81
Aug 10 08:13:52keenetic_ultra nginx
(conn: *49370) user "support" was not found in config, client: 5.141.8.81
Aug 10 08:13:55keenetic_ultra nginx
(conn: *49371) user "support" was not found in config, client: 5.141.8.81
Aug 10 08:13:58keenetic_ultra nginx
(conn: *49372) user "super" was not found in config, client: 5.141.8.81

И таких записей около сотни.

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано

Сейчас на 2.07 и 2.08 такие настройки: 
 - между любыми запросами при ответе HTTP/401 - интервал 300 мс, которые выдерживает nginx и не отдает данные. Это для защиты от тупого refresh страницы с 401 ответом и DоS в результате.
 - если учетные даннные неверны, или такого юзера вообще нет в системе - то задержка перед выдачей HTTP/401 составляет 3000 мс, что достаточно, чтобы защитить от брутфорса, если у вас стоит нормальный пароль. Такими темпами (0,33 в секунду максимум) их будут перебирать дооооолго.

 

Еще можно попробовать включить ограничение на число коннектов с одного IP на nginx, но тут нужно быть аккуратным, чтобы не зарезать случаем нормальную пользовательскую активность.

  • Спасибо 1
  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
  В 10.08.2016 в 10:11, Phaeton сказал:

Добрый день! Буквально только что проверил журнал и обнаружил:

Aug 10 05:12:11keenetic_ultra nginx
(conn: *49321) user "ZXDSL" was not found in config, client: 89.163.242.91
Aug 10 05:12:15keenetic_ultra nginx
(conn: *49322) user "Cisco" was not found in config, client: 89.163.242.91
Aug 10 05:12:18keenetic_ultra nginx
(conn: *49323) user "cisco" was not found in config, client: 89.163.242.91
Aug 10 05:12:21keenetic_ultra nginx
(conn: *49324) user "admin": password mismatch, client: 89.163.242.91

 

Aug 10 08:13:49keenetic_ultra nginx
(conn: *49369) user "airlive" was not found in config, client: 5.141.8.81
Aug 10 08:13:52keenetic_ultra nginx
(conn: *49370) user "support" was not found in config, client: 5.141.8.81
Aug 10 08:13:55keenetic_ultra nginx
(conn: *49371) user "support" was not found in config, client: 5.141.8.81
Aug 10 08:13:58keenetic_ultra nginx
(conn: *49372) user "super" was not found in config, client: 5.141.8.81

И таких записей около сотни.

Показать  

Вас брутфорсят.

Эти записи мы специально не скрываем, чтобы вы знали о факте перебора паролей и о том, насколько упорно это делается.

Однако вы сами можете их скрыть через system log suppress nginx или же забанив эти IP в межсетевом экране.

  • 0
BACbKA Поставщик контента

BACbKA

Опубликовано
Опубликовано (изменено)
  В 16.08.2016 в 21:42, Le ecureuil сказал:

Доделываем мини-IDS для HTTP, будет просто пушка :)

Настраиваемая автоматическая банилка переборщиков паролей навроде fail2ban.

Показать  

А DSL-щики опять идут мимо?:11_blush:

Изменено пользователем BACbKA
  • 0
Phaeton Пользователь

Phaeton

Опубликовано
  • Автор
Опубликовано

Добрый день! Записи в журнале за последнюю неделю ежедневно буквально кишели красными строками с перебором паролей. Отправить все эти ИП в черный список считал не целесообразным поскольку ИП при каждой попытке был разный. Вчера днем включил фильтр SkyDNS (платный), а буквально час назад проверил журнал и ни одной попытки подключения за сутки! Не могу однозначно связать это с фильтром, продолжаю наблюдать.

  • 0
BACbKA Поставщик контента

BACbKA

Опубликовано
Опубликовано
  В 17.08.2016 в 10:30, Le ecureuil сказал:

У вас остается 2.05 из-за DSL-чипа и страшного в поддержке процессора :)

Показать  

Это похоже единственное наше достояние... на века... :3_grin: А бэкпортировать никак ничего низя?... :(

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
  В 17.08.2016 в 10:32, BACbKA сказал:

Это похоже единственное наше достояние... на века... :3_grin: А бэкпортировать никак ничего низя?... :(

Показать  

Слишком много изменений + 2.05 перешла в фазу stable, то есть никаких новых фич там больше не будет.

  • Спасибо 1
  • 0
oleg71 Новичок

oleg71

Опубликовано
Опубликовано

Хорошего настроения!

В логах ultra2 обнаружил похожее в теме:

  Показать контент

Ломится какой-то немец что-ли?

Создал правила на подсеть во вкладке МЭ:

  Показать контент

Верно ли это?

 

  • 0
Deshunin Sergey Старожил

Deshunin Sergey

Опубликовано
Опубликовано (изменено)

Начиная с 2.08.A.4.0-0 по умолчанию включено подавление таких визитёров:

  Цитата

Версия 2.08.A.4.0-0:

  • добавлена блокировка роботов, перебирающих HTTP-пароли:
    • работает только на интерфейсах типа security-level public
    • настраивается командой ip http bfd {threshold} [{duration} [{window}]], по умолчанию включена
      • threshold — количество попыток ввести неверный пароль, по умолчанию 5
      • duration — на сколько времени банить, в минутах, по умолчанию 15
      • window — окно наблюдения в минутах, по умолчанию 3
    • отключается командой no ip http bfd

 

Показать  

 

Изменено пользователем Fandor
  • Спасибо 1
  • 0
oleg71 Новичок

oleg71

Опубликовано
Опубликовано
  В 28.10.2016 в 20:25, Fandor сказал:

Начиная с 2.08.A.4.0-0 по умолчанию включено подавление таких визитёров:

 

Показать  

Спасибо за информацию.

У меня стоит прошивка :

Версия NDMS v2.07(AAUX.5)C3

 

Версии draft пока не использую, вот почему и спрашиваю за правильность действий (правил МЭ) для таких случаев. Интересно, что время запросов идет равными периодами в 3 сек. (иногда чуть больше).

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
  В 29.10.2016 в 06:16, oleg71 сказал:

Спасибо за информацию.

У меня стоит прошивка :

Версия NDMS v2.07(AAUX.5)C3

 

Версии draft пока не использую, вот почему и спрашиваю за правильность действий (правил МЭ) для таких случаев. Интересно, что время запросов идет равными периодами в 3 сек. (иногда чуть больше).

Показать  

Откуда берутся 3 секунды - читайте в моем посте выше, там указаны все тайминги.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю