Подскажите пожалуйста по логу. Похоже тоже DDOSят? Весь лог засрался.
https://dl.dropbox.com/u/54930448/syslog_15.07.cgi
Здравствуйте.
Проблема старая, но решил обратиться только сейчас.
У меня rt-n16 в данный момент с прошивкой RT-N16-1.9.2.7-rtn-r4330.trx. Подозревал на вирус вначале. Windows менял несколько раз, проблема осталась, Agnitum Outpost регистрирует постоянно сканпорт, 95% это на порт (48191).
На этот порт никаких программ не привязано, WAN>LAN фильтр включен в исключениях только NAT Setting:Virtual Server (где порты торрента только).LAN>WAN включен, разрешен только для нескольким локальным IP, tcp/udp 1-65535.
Filtered ICMP(LAN to WAN) packet types: 3 8 10
Filtered ICMP(WAN to LAN) packet types: 0 3 10 11
Скрипт не установлен, флэшка и винт не подключен.
Попробовал вписать через ssh:
Как я понял, это мера только до перезагрузки роутора.iptables -A INPUT -p tcp --dport 48191 -j DROP
iptables -A INPUT -p udp --dport 48191 -j DROP
Уважаемые знатоки, подскажите пожалуйста, как это решить?
ASUS RT-N16; прошивка: 1.9.2.7-rtn-r4330
И какие порты торрента?где порты торрента только
А вообще рекомендую включить тихий режим на персональном файрволе.
Отключил в моем BitComet, DHT сети и логин на их сайте. проблема продолжилась с внешних ип.
Поменял на uTorrents, проблема так же осталась. Отключил на uTorrants DHT сети, с внешних IP атак на этот порт не наблюдается, только с локальных IP (провайдера). Думаю это связанно тем что IP локальный, внутри провайдера, еще не сменился (он меняется иногда).
В чём была причина, можете объяснить?
P.S. Проблема все так же продолжается, наблюдение показало и без торрентов(
Last edited by xml111; 12-10-2012 at 13:49.
ASUS RT-N16; прошивка: 1.9.2.7-rtn-r4330
Повадились ко мне в последнее время лазать на роутер китайцы, африканцы и латино-американцы. Некоторые просто коннектятся и тут же отключаются, некоторые делают одну попытку подбора логина/пароля за раз, некоторые откровенно брутят. При чем, что самое интересное, смена SSH-порта на новый помогает всего на пару дней. Затем, видимо насканивают новый, медом им намазано, что ли?.. В общем, надоели.
Побудило меня это на написание скриптика, который бы дергался пару раз в сутки из cron, определял свеженьких "клиентов" и добавлял их в бан-лист при помощи встроенного iptables да и в post-firewall заодно. Кроме того, мне было интересно получать при этом SMS в случае пополнения блеклиста.
Алгоритм был выбран примерно такой:
1. Из /tmp/syslog.log получаем список IP-адресов, подключения с которых окончились "Exit before auth"
2. Удаляем из списка уже заблокированные iptables диапазоны (использована цепочка BRUTE)
3. Оставшийся список IP-адресов при помощи whois (поля CIDR - ARIN, inetnum - RIPE, Network Numbers - JP) превращаем в список IP-подсетей.
4. Подсеть, встречающаяся в списке более заданного количества (выбрано более 10) раз добавляется iptables в цепочку BRUTE правилом
и в post-firewall с последующим сохранением, дабы не потерять список "героев" при пропадании электричества.Code:iptables -I BRUTE -s $ipnet -j logdrop
5. Сюда же, покурив http://wl500g.info/showthread.php?25191 и http://habrahabr.ru/post/147583/, была добавлена отправка SMS через Google-календарь. Большое спасибо авторам этих замечательных скриптов.
Что понадобилось доустановить:
Включить (будет добавлена iptables-цепочка BRUTE):Code:opkg install whois
Веб-морда --> Internet Firewall --> Basic Config --> Protection against Brute Force Attacks from WAN for SSH and FTP Servers --> Enable Brute Force Protection for SSH Server --> Yes
Для отправки SMS:
UPD: 24.03.2014 - Добавлено определение перебора паролейCode:opkg install python-expat opkg install python-openssl расширение gdata и скрипты для SMS
P.S> Наверняка что-то написано не оптимально и можно реализовать по-проще - я с удовольствием приму замечания и предложения по оптимизации.
P.P.S> До инсталлятора руки пока не дошли.
Last edited by VA_DOS; 24-03-2014 at 07:29.
WL-500gP v2 (1.9.2.7-rtn-r4772) / rTorrent 0.9.3 / ruTorrent 3.4
ImageVue r16 (patched) / lighttpd + ssl + auth
WDTV Gen1 / WDLXTV 0.5.8.1 / D-Link DWA-110 WiFi
WDTV Live / WDLXTV 0.4.7.3 / WDTV Live Hub
Прошу прощения, заметил, что выложил "старую" версию без определения перебора паролей. Исправляюсь.
WL-500gP v2 (1.9.2.7-rtn-r4772) / rTorrent 0.9.3 / ruTorrent 3.4
ImageVue r16 (patched) / lighttpd + ssl + auth
WDTV Gen1 / WDLXTV 0.5.8.1 / D-Link DWA-110 WiFi
WDTV Live / WDLXTV 0.4.7.3 / WDTV Live Hub
Может быть глупый вопрос, но сам не могу понять.
Где посмотреть список заблокированных IP?
WL-500gP v2 (1.9.2.7-rtn-r4772) / rTorrent 0.9.3 / ruTorrent 3.4
ImageVue r16 (patched) / lighttpd + ssl + auth
WDTV Gen1 / WDLXTV 0.5.8.1 / D-Link DWA-110 WiFi
WDTV Live / WDLXTV 0.4.7.3 / WDTV Live Hub
RT-N66U, прошивка от Merlina. Включен доступ извне к панели и по ssh. Сегодня заметил в логах множество записей о попытках логиниться с разных IP. Попытки все не увенчались успехом, но сам факт - кто-то пытается подобрать логин и пароль. Знаю, что есть возможность указать список внешних IP-адресов, с которых разрешается подключаться, но не могу найти где. Подскажите, как обеспечить безопасность в данной ситуации.
Варианты (в порядке возрастания паранойи):
1. Забить. Кетайцы всех пытаются брутить.
2. Пересадить SSH на другой порт.
3. Включить "Enable SSH Brute Force Protection" - IP будет получать отлуп после нескольких неудачных попыток соединения.
4. Заблочить кетайцев и т.п. с помощью ipset.
Естественно, при всём этом пароль для доступа нужно иметь нормальный.