Новая проблема от ХМ

Рустам

AlexLider писал(а): ↑
27 авг 2024, 19:37
Де-факто требуется как минимум территориальная фильтрация IP-адресов, а именно запрет удаленного доступа с заграничных IP-адресов. Это позволило бы значительно уменьшить масштабы откровенного бедствия.

Если в качестве атакующих ботов реально используются точно такие же регистраторы, но уже заражённые, то территориальная фильтрация не поможет...

awadima · Сообщение **awadima** » 28 авг 2024, 21:18

Рустам писал(а): ↑
28 авг 2024, 13:27

AlexLider писал(а): ↑
27 авг 2024, 19:37
Де-факто требуется как минимум территориальная фильтрация IP-адресов, а именно запрет удаленного доступа с заграничных IP-адресов. Это позволило бы значительно уменьшить масштабы откровенного бедствия.

Если в качестве атакующих ботов реально используются точно такие же регистраторы, но уже заражённые, то территориальная фильтрация не поможет...

фильтрация частой инициализации нового tcp подключения

AlexLider · Сообщение **AlexLider** » 28 авг 2024, 21:20

Рустам писал(а): ↑
28 авг 2024, 13:27
Если в качестве атакующих ботов реально используются точно такие же регистраторы, но уже заражённые, то территориальная фильтрация не поможет...

Ботов обычно запрягают для перебора паролей и грубых атак, да и атака осуществлена с десятка IP-шников, арендованных у европейских облачных провайдеров, т.к. после внесения их в Черный Список на контролируемом регистраторе беспарольный доступ с этих IP прекратился.
Это даже не атака, а массовый беспарольный доступ с использованием одной из известных уязвимостей https://vulncheck.com/blog/xiongmai-iot-exploitation
Контролируемый регистратор сначала подвис, мышка не двигалась совсем, а потом через некоторое время запустилось обновление, но не прошивки, а лишь ее части, раздела, и регистратор завис на этом этапе

AlexLider · Сообщение **AlexLider** » 28 авг 2024, 21:21

awadima писал(а): ↑
28 авг 2024, 21:18
фильтрация частой инициализации нового tcp подключения

Как это можно сделать, что настроить?

AlexLider · Сообщение **AlexLider** » 29 авг 2024, 00:18

Применил решение на MikroTik, а именно - блокировка и ограничение доступа по IP не из РФ. [url]https://настройка-микротик.рф/ограничение-по-странам-на-mikrotik-geoip/#Настройка_ограничений_GeoIP[/url]. Полная тишина более суток, полет нормальный, но чую, еще придется добавить правила

awadima · Сообщение **awadima** » 29 авг 2024, 10:14

уже 2 года работает, ну как параноик я придумал новую схему доступа - только для своих
стучишься на определённый порт, потом на другой определённый - и IP добавляется в белый список
в линуксе можно ещё сложнее придумать такую схему

)

awadima · Сообщение **awadima** » 29 авг 2024, 10:17

AlexLider писал(а): ↑
28 авг 2024, 21:21

awadima писал(а): ↑
28 авг 2024, 21:18
фильтрация частой инициализации нового tcp подключения
Как это можно сделать, что настроить?

гугл

делается за 2 минуты
добавляются скриптом IP из РФ
ну и фаервлом уже крутишь и вертишь как хочешь

AlexLider · Сообщение **AlexLider** » 29 авг 2024, 17:01

awadima писал(а): ↑
29 авг 2024, 10:14
уже 2 года работает, ну как параноик я придумал новую схему доступа - только для своих
стучишься на определённый порт, потом на другой определённый - и IP добавляется в белый список
в линуксе можно ещё сложнее придумать такую схему )

Параноик?? Это то, что сейчас нужно!

AlexLider · Сообщение **AlexLider** » 30 авг 2024, 07:50

Из последних наблюдений... Внес в Черный Список адрес 127.0.0.1, и третий день полет нормальный.
На 30 число атакам и вторжению подверглись регистраторы с самыми последними прошивками 2023-24 года, т.е. злоумышленникам известна некая универсальная уязвимость, которую они используют для беспарольного доступа. Следим за ситуацией

S@rge · Сообщение **S@rge** » 30 авг 2024, 09:20

awadima писал(а): ↑
29 авг 2024, 10:14
стучишься на определённый порт, потом на другой определённый - и IP добавляется в белый список

Это называется Port Mapping (можно аналогично настроить на Ping с определенным размером пакета).

Сообщение **GenaSPB** » 30 авг 2024, 12:15

AlexLider писал(а): ↑
30 авг 2024, 07:50
Внес в Черный Список адрес 127.0.0.1, и третий день полет нормальный.

Очень отчаянный шаг. Сам то теперь можешь какие либо настройки сделать? Хотя сам наверное и сможешь, а вот если регу потребуется у самого себе что либо поменять, вот тут могут быть грабли.
У кого микроты в голове, прекрасно работает скрипт по отправлению в бан ИПшников когда стучаться на данный порт. Прекрасно помогает от перебора портов. Естественно все порты на внешку должны быть нестандартными. Это уже по дефолту должно быть так всегда.

AlexLider · Сообщение **AlexLider** » 30 авг 2024, 14:52

GenaSPB писал(а): ↑
30 авг 2024, 12:15
Очень отчаянный шаг. Сам то теперь можешь какие либо настройки сделать? Хотя сам наверное и сможешь, а вот если регу потребуется у самого себе что либо поменять, вот тут могут быть грабли.
У кого микроты в голове, прекрасно работает скрипт по отправлению в бан ИПшников когда стучаться на данный порт. Прекрасно помогает от перебора портов. Естественно все порты на внешку должны быть нестандартными. Это уже по дефолту должно быть так всегда.

Отчаянный, да, мера временная, но пока, тьфу-тьфу, все Ок. Настройки правятся, сетевые службы функционируют штатно.
Было бы неплохо для охранных фирм организовать защищенные каналы, но они не спешат содействовать и обновлять сетевое оборудование с учетом нынешних угроз, а-ля *Моя хата с краю*. Смешно, что именно они - видеомониторинг и Безопасный Город - оборвали линии техподдержки местных Поставщиков, когда подключенные к их системам регистраторы и камеры массово обвалились 22 числа

Форум по системам видеонаблюдения и безопасности.

Новая проблема от ХМ

Re: Новая проблема от ХМ

Re: Новая проблема от ХМ

Re: Новая проблема от ХМ

Re: Новая проблема от ХМ

Re: Новая проблема от ХМ

Re: Новая проблема от ХМ

Re: Новая проблема от ХМ

Re: Новая проблема от ХМ

Re: Новая проблема от ХМ

Re: Новая проблема от ХМ

Re: Новая проблема от ХМ

Re: Новая проблема от ХМ