caxapa.ru :: Хакерские атаки. Что делать?

VVB (01.08.2016 15:30, просмотров: 12092)

Хакерские атаки. Что делать? Вчера вечером настроил сервак с linux. Пока что кроме ssh там ничего нет, доставлю не спеша. Имею "белый IP" от дом.ру. Зарегистрировал домен второго уровня на hldns.ru, ответ пришёл по почте на yandex.ru. Пока что не стал менять стандартный порт ssh. Пробросил порт с точки доступа на мой сервер. SSH настроен корректно, не взломают. И с ночи в логах вижу аккуратные попытки взлома. Раз в несколько минут ко мне ломятся с неизвестных мне IP. Уже десятка три адресов увидел в логах. Позвонил провайдеру, объяснил девочке что происходит, предложил передать свои логи, проанализировать трафик на мой IP, у неё, похоже, оказалось недостаточно ума было чтобы переключить на соответствующую тех. поддержку. По текущей ситуации имею ряд вопросов. 1. почему атака началась практически сразу после регистрации в hldns? Предполагаю наиболее вероятной утечку информации из hldns.ru или yandex.ru. Наименее вероятно -- работающий у кого-то сканер, который продетектировал мой открытый порт на моём IP. 2. в логах у меня имеется куча IP-адресов заражённых ПК (или подсетей), как раз с них осуществляется атака. Я хотел их предоставить провайдеру для дальнейшей разборки, они ему не нужны. Что мне с ними делать?

Ответить

- Ничего не делать. Сейчас на любой интернет адрес идёт постоянная долбёжка в ssh и smtp порты... Если шибко беспокоит -- закрыть фаерволом (подсети злодеев или вообще всё и оставить вход после port knocking'а). Можно ещё ssh на другом порту fk0(57 знак., 01.08.2016 23:58 - 02.08.2016 00:06)
- Почему атака началась: твой (DNS) адрес где-то уже в базе, на него и ломятся. - fk0(02.08.2016 00:00)
  - Надо порядок наводить на большой свалке под названием "Интернет", ситуация станет сильно лучше для подавляющего большинства пользователей. VVB(102 знак., 02.08.2016 08:28)
- У меня подобное недоумение. Есть сферический царь, которому с утра до вечера соглядатаи сообщают: ты, вашество, вообще заибца руководишь, но дружки, с которыми ты амброзию пьешь, нещадно хапают. Посмотри, надежа-государь: вон, вон, вон и вон. Олдфаг(149 знак., 01.08.2016 21:03, )
  - Зато давно не взрывают. Тоже неплохо. (тьфу-тьфу-тьфу). Если яхты этому способствуют, я только за. Но способствуют ли - хз. - SciFi(01.08.2016 21:09)
- Патамушта у клиентов твоего прова вирусов по самое небалуй и они на это кладут. Тебя не хакеры атакуют, а вирусы. - Codavr(01.08.2016 20:51)
- смотреть в сторону fail2ban и подобного - kaf1(01.08.2016 19:33)
- Немой вопрос, а что свой домен дорого купить ? в зоне РУ ? копейки в год стоят... sav6622(273 знак., 01.08.2016 16:01)
  - 600 рублей! Да пусть удавятся уроды косорукие! Раньше бесплатно было! И 360 рублей потом. И регистрироваться как СМИ с номером паспорта не надо было. Сейчас бесплатно домен можно в некоторых зонах (типа .tk) получить. Ну или дешевле в .info, fk0(13 знак., 02.08.2016 00:02)
    - Да какие 600 р... можно найти приличных регистраторов из 100 р в год...паспорт да, нужен уже давно.. info и name почему то по моим наблюдениям как раз дороже чем ru - sav6622(02.08.2016 00:28)
      - Можно пример приличных регистраторов РУ за 100 в год? - blackprapor(02.08.2016 08:53)
        
        Смотря конечно кого считать приличными... это тот еще вопрос... сам держу у Нетфокса, но у них подорожало... думаю перевестись к sav6622(470 знак., 02.08.2016 09:48)
        
        Да, именно, кого считать приличным. blackprapor(154 знак., 02.08.2016 10:08)
        
        Ну это можно проверить при регистрации... тем что указал на мой взгляд можно доверять... нетфокс единственное с ценой подвел, хоть и обещал... а нетхауз вкупе с мажордомо весьма большие... - sav6622(02.08.2016 10:16)
  - Поразбираюсь, подумаю, может быть, и куплю потом домен. Не вопрос. - VVB(01.08.2016 16:09)
  - Яндекс давно один раз мне подлянку устроил, внезапно заблокировал не TLS авторизацию. И я не мог с IP-камеры около входной двери получать картинки на почту при детекции движения. IP камера не умеет TLS. - VVB(01.08.2016 16:06)
    - Там разве нельзя пароль приложения сгенерировать уникальный ? я в итоге так и сделал, когда понадобилось просто отправить... - sav6622(01.08.2016 21:45)
      - Это какой такой пароль приложения? VVB(319 знак., 02.08.2016 08:22, ссылка)
        
        Пардон, попутал с другой проблемой, посмотрел сейчас у себя, включен TLS - sav6622(02.08.2016 09:59)
        
        SSL и TLS говоришь? Это которые с сертификатами? Знаем зачем нужны эти сертификаты... fk0(02.08.2016 09:22)
        
        Написано же "расположенных за пределами страны" - VVB(02.08.2016 10:14)
        
        Для работы в пределах страны уже используются специальные сертификаты на серверах. Что тут непонятного... - fk0(02.08.2016 10:52)
- Забей. Жизнь - боль. Скрипач(191 знак., 01.08.2016 15:38)
  - Сетка адептов андроида и гугла ничем не лучше секты адептов айфона и эппла. - fk0(02.08.2016 00:04)
    - Если чей-то почтовый сервер не держит RFC то дать ему отлуп - правильно, ибо иного способа воздействия на криворуких ебланов - не существует. - Скрипач(02.08.2016 06:16)
      - Не принимать zip файлы в аттаче -- это "не держит RFC" ? - fk0(02.08.2016 07:33)
        
        SMTP Z протокод передачи почты. Для дистрибутивов Libux - FTP. - Скрипач(02.08.2016 09:17)
  - Я как раз и забил. Кстати, мэйлсервер там поднять планирую, так что буду сам себя мэйлхостить. - VVB(01.08.2016 15:41)
    - Ещё один способ накликать приключения на свою пятую точку :-) Нет, я понимаю, что весь этот мазохизм с красноглазием - это хобби (типа как некоторые любят под тачкой загорать), но тем не менее :-) - SciFi(01.08.2016 15:49)
      - Ага, это всё я делаю для "общего развития". Хотя надо было развиваться 20 лет назад. VVB(200 знак., 01.08.2016 15:53)
        
        пока у меня был белый IP, я держал RDP винды в открытую, ну и small http-server был. где я копию своего сайта держал, и ftp был для удобного перелива файла с работы на дом и обратно. и как-то не парился по поводу взлома. - Mahagam(01.08.2016 15:57)
        
        т.е. суслика ты не видел, да? :) - Скрипач(01.08.2016 19:31)
        
        Я когда-то заморачивался с генту. Для общего развития полезно, конечно. Но пока не очень-то пригодилось :-) - SciFi(01.08.2016 15:56)
        
        Хорошо сидишь :-) - VVB(01.08.2016 15:59)

0xFF