вторник, 16 марта 2021 г.

Брутфорс атака

На мой почтовик идет беспрецедентная атака перебором!
Вот только список забаненных сетей "С" класса (более 7300 и продолжает расти):

1.22.173.0/24 0
1.22.179.0/24 0
1.23.32.0/24 0
1.23.44.0/24 0
1.23.116.0/24 0
1.23.151.0/24 0
1.23.196.0/24 0
1.23.225.0/24 0
1.24.162.0/24 0
1.24.188.0/24 0
1.27.155.0/24 0
1.29.134.0/24 0
1.31.110.0/24 0
1.46.46.0/24 0
1.46.171.0/24 0
1.46.239.0/24 0
1.47.33.0/24 0
1.47.96.0/24 0
1.47.98.0/24 0
1.47.107.0/24 0
1.47.227.0/24 0
1.48.196.0/24 0
1.52.32.0/24 0
......
162.243.74.0/24 0
162.246.19.0/24 0
162.246.211.0/24 0
162.246.212.0/24 0
162.248.4.0/24 0
162.248.74.0/24 0
162.252.188.0/24 0
162.254.3.0/24 0
163.24.104.0/24 0
163.44.148.0/24 0
163.44.151.0/24 0
163.44.152.0/24 0

При этом интенсивность не спадает!

45134 handling incoming connection from (localhost) [45.142.120.6]
45164 handling incoming connection from (localhost) [45.142.120.215]
45201 handling incoming connection from (localhost) [45.142.120.11]
45214 handling incoming connection from (localhost) [45.142.120.90]
45248 handling incoming connection from [45.142.120.16]
45280 handling incoming connection from [45.142.120.52]
45340 handling incoming connection from [45.142.120.137]
45345 handling incoming connection from [45.142.120.147]
45346 handling incoming connection from [45.142.120.8]
45418 handling incoming connection from [45.142.120.84]
45420 handling incoming connection from [45.142.120.35]
45468 handling incoming connection from [45.142.120.93]
45494 handling incoming connection from (User) [87.246.7.226]

У меня ограничено количество одновременных подключений и файрвол рано или поздно всех подавит, но кто то очень заморочился, натравив на нас свою бот-сеть.

P.S.
После того, как количество забаненых подсетей достигло 14440, атака схлынула. Причем не ослабла, а полностью прекратилась. И мы все обратили внимание на странно круглое число.

10 комментариев:

  1. Александр! Поделитесь вашими способами борьбы с брутами и сканами, может быть в виде отдельной статьи.
    Я тут на Микротике тоже столкнулся при поднятии vpn каждую ночь пытаются пощупать. Ясное дело есть варианты с блек -листами и порт-кногингом.
    Интересно чем пользуетесь вы?
    На линуксе например узнал недавно про более интересный аналог file2ban - CrowdSec.
    Если про что-то опишите, спасибо!

    ОтветитьУдалить
    Ответы
    1. Ну у меня кроме почты наружу ничего не торчит с широким доступом к портам, поэтому работает связка почтового сервера и файрвола:
      Идет статистическое накопление в базе IP с попытками внешней авторизации и с определенным промежутком времени делается запрос к базе и банятся адреса, встречающиеся больше n раз. В случае, если выявляется атака (по количеству соединений в пуле), то вместо отдельных IP банятся подсети. Состояние файрвола обновляется раз то ли в 15 минут то ли 30, уже не помню. IP старше то ли месяца то ли трех из базы удаляются.Это что касается почты. А вопрос VPN и прочих сервисов решается указанием в правиле файрвола IP источника и другие его просто не увидят.
      Торчать открытыми портами наружу в наше время чревато - если не взломают, то за DDOSят.
      Готовые решения не использовал, потому ничего о них не скажу, хотя давно посматриваю на Proxmox Mail Gateway.

      Удалить
    2. Александр, спасибо за ответ, мне всякая практика интересна, насчет внешки и портов наружу - полностью согласен.
      И кстати, спасибо за обширный мануал по Proxmox на русском у вас в блоге!

      Удалить
    3. Мануал к сожалению закончить некогда

      Удалить
    4. Насчет мануала, пусть "в день по чайной ложке", но всё же ))
      Не бросайте это дело, пжлста!

      Удалить
    5. Дело в том, что пока я переводил v6.0 уже вышла v6.3: я просто не успеваю - очень много времени занимает вычитка-проверка кода и верстка

      Удалить
    6. А разве там такие уж большие отличия (v6.0 - v6.3)? Думаю, 90% минимум не должно измениться!

      Удалить
    7. Все равно пока нет времени, если попустит продолжу

      Удалить
    8. Спасибо! Теперь видно, что не я один этого жду, есть ещё читатели!

      Удалить
    9. Значит буду изыскивать возможность

      Удалить