Порты всегда меняю на +-1000 (в этих пределах), не помогло. После чёрного списка атаки уменьшились в 10 раз.koks писал(а):Добавление в чёрный список большой результата не приведёт (но сами тоже добавляем эти адреса). Необходимо менять внешний порт на отличный от 34567. У нас на объектах где 34567 в последнее время в логах видим нездоровую тенденцию на увеличении попыток подбора пороля. На одном объекте порт 34568 - никто даже не пробовал подобрать пароль.sergvl писал(а):Это хакер какой то пытается получить доступ к регу. IP адрес 85.114.21.234 это тот с которого у меня на нескольких регистраторах пытались получить доступ.
Работает он только по IP.
Добавь в чёрный список IP адреса, на сегодня список увеличился.
2.63.121.175
5.228.121.103
46.33.35.15
46.147.226.137
54.254.133.81
85.114.21.234
89.169.173.52
90.155.233.24
91.105.235.96
91.211.57.118
93.170.115.254
93.91.116.201
94.45.214.32
95.66.164.5
95.154.101.209
107.152.104.191
172.98.87.83
176.215.83.249
178.34.162.174
178.72.70.172
178.72.68.183
178.72.68.216
178.72.70.74
185.186.78.21
185.186.78.64
185.186.78.18
188.163.3.215
212.34.229.150
213.141.155.95
Восстановление уч. записи Авто
-
sergvl
- Специалист
- Сообщения: 1383
- Зарегистрирован: 18 янв 2016, 14:09
- Откуда: 符拉迪沃斯托克
- Контактная информация:
Re: Восстановление уч. записи Авто
-
kROOT
- Специалист
- Сообщения: 13486
- Зарегистрирован: 02 сен 2013, 14:25
- Откуда: youcam.pro
- Контактная информация:
Re: Восстановление уч. записи Авто
Я бы не называл это атаками. Атаки это использование уязвимостей с целью завладения устройством. Тут идет перебор паролей по очень короткому словарю, так что использование пароля даже средней сложности надежно защищает.
Сложные пароли нужны, если злоумышленникам может быть доступен хэш пароля, который брутят локально на мощных компьютерах, на все современные сетевые службы делают таймауты при вводе некорректного пароля и большой словарь или посимвольный перебор бесполезен.
Сложные пароли нужны, если злоумышленникам может быть доступен хэш пароля, который брутят локально на мощных компьютерах, на все современные сетевые службы делают таймауты при вводе некорректного пароля и большой словарь или посимвольный перебор бесполезен.
-
AlexLider
- Специалист
- Сообщения: 1163
- Зарегистрирован: 01 авг 2016, 01:11
- Откуда: Россия, Пермь
- Контактная информация:
Re: Восстановление уч. записи Авто
Попытки получения доступа путем перебора стандартных логинов и паролей - это и есть атаки, точнее - их разновидность, а еще точнее - брутфорс.
В целях усиления защиты необходимо менять не только пароль, но и логин. Плюс - необходимо иметь отдельную резервную учетную запись для восстановления доступа. Стандартные логины могут заблокированы системой регистратора в результате массированного брутфорса.
Для больших систем необходимо иметь сетевой экран либо роутер с функцией сетевого экрана для автоматической блокировки по IP при превышении кол-ва запросов в сек.
В целях усиления защиты необходимо менять не только пароль, но и логин. Плюс - необходимо иметь отдельную резервную учетную запись для восстановления доступа. Стандартные логины могут заблокированы системой регистратора в результате массированного брутфорса.
Для больших систем необходимо иметь сетевой экран либо роутер с функцией сетевого экрана для автоматической блокировки по IP при превышении кол-ва запросов в сек.
-
kROOT
- Специалист
- Сообщения: 13486
- Зарегистрирован: 02 сен 2013, 14:25
- Откуда: youcam.pro
- Контактная информация:
Re: Восстановление уч. записи Авто
Формально проверка открытого порта это тоже атака. И получения доступа к устройству без пароля тоже атака.
Но на практике атаками я называю действия, которые могут привести к получению доступа к устройствам, которые защищены по стандартным правилам. Например то что год назад атаковали через облако не закрытые паролем камеры. Я например во внутренней сети очень редко паролю камеры, если к ним не открыт доступ снаружи. И раньше часто не отключал доступ к облаку. Вот это была реальная атака с использованием уязвимостей, а то, что пароли перебирают это обыденность и оно всегда будет и от этого никуда не денешься. И на серверах перебирают и на роутерах, на всем. Это события с которыми нет смысла бороться, достаточно просто ставить неуязвимый пароль.
Но на практике атаками я называю действия, которые могут привести к получению доступа к устройствам, которые защищены по стандартным правилам. Например то что год назад атаковали через облако не закрытые паролем камеры. Я например во внутренней сети очень редко паролю камеры, если к ним не открыт доступ снаружи. И раньше часто не отключал доступ к облаку. Вот это была реальная атака с использованием уязвимостей, а то, что пароли перебирают это обыденность и оно всегда будет и от этого никуда не денешься. И на серверах перебирают и на роутерах, на всем. Это события с которыми нет смысла бороться, достаточно просто ставить неуязвимый пароль.
Re: Восстановление уч. записи Авто
Самое главное правило:
1) Никогда не выпускай оборудование в интернет без файрвола (без разницы программный или железный).
2) Никогда не пользуйся стандартными портами.
3) Порты должны быть из такого диапазона - который не попадает в список часто используемых.
4) Обновляй прошивки на оборудовании, если это возможно, т.к. производитель часто закрывает дыры с помощью обновлений.
1) Никогда не выпускай оборудование в интернет без файрвола (без разницы программный или железный).
2) Никогда не пользуйся стандартными портами.
3) Порты должны быть из такого диапазона - который не попадает в список часто используемых.
4) Обновляй прошивки на оборудовании, если это возможно, т.к. производитель часто закрывает дыры с помощью обновлений.
Re: Восстановление уч. записи Авто
Добавил в чёрный список адреса, указанные выше + все адреса которые были у меня в логах. Сегодня проверил логи, а там:
2026 2018-08-08 17:07:28 Вход Имя пользователя или пароль ошибке 666666<Web:89.169.173.52,205> (https://cloud.mail.ru/public/KfnH/wLaB3Hvjc" onclick="window.open(this.href);return false;)
Проверил "чёрный" список в видеорегистраторе. Адрес 89.169.173.52 в нём присутствует(((( Скриншот списка - https://cloud.mail.ru/public/A6nQ/R3AYRTwtr" onclick="window.open(this.href);return false;
Какое ограничение в количестве записей в "чёрном" списке? У меня сейчас вбито 38 адресов.
2026 2018-08-08 17:07:28 Вход Имя пользователя или пароль ошибке 666666<Web:89.169.173.52,205> (https://cloud.mail.ru/public/KfnH/wLaB3Hvjc" onclick="window.open(this.href);return false;)
Проверил "чёрный" список в видеорегистраторе. Адрес 89.169.173.52 в нём присутствует(((( Скриншот списка - https://cloud.mail.ru/public/A6nQ/R3AYRTwtr" onclick="window.open(this.href);return false;
Какое ограничение в количестве записей в "чёрном" списке? У меня сейчас вбито 38 адресов.
-
AlexLider
- Специалист
- Сообщения: 1163
- Зарегистрирован: 01 авг 2016, 01:11
- Откуда: Россия, Пермь
- Контактная информация:
Re: Восстановление уч. записи Авто
Применяй рекомендации выше. Поменяй порты
Re: Восстановление уч. записи Авто
Согласен. Будем оставлять заявка админам.AlexLider писал(а):Применяй рекомендации выше. Поменяй порты
Пробежался по другим устройствам. Обнаружил "дырявый" "чёрный" список ещё на нескольких устройствах. Везде данный адрес был в "чёрном" списке.
1. PWDR-16WDS2 Rev.D (дата производства 20.09.2015, прошивка от 2016-06-28).
1984 2018-08-08 17:11:42 Вход Имя пользователя или пароль ошибке 666666<Web:89.169.173.52,205>
2. PVDR-24NRL2 (прошивка от 2017-10-28).
2018 2018-08-08 17:02:32 Вход Имя пользователя или пароль ошибке 666666<Web:89.169.173.52,205>
3. PVDR-16WDL2 (дата производства 25.06.2015, прошивка от 2016-06-28)
1953 2018-08-08 17:06:22 Вход Имя пользователя или пароль ошибке 666666<Web:89.169.173.52,205>
4. PVDR-??????? (дата производства ??????, прошивка от 2016-03-09)
1984 2018-08-08 17:06:51 Вход Имя пользователя или пароль ошибке 666666<Web:89.169.173.52,205>
