Across Posted November 24, 2016 Share Posted November 24, 2016 Получаю в логах под сотню подобных записей в сутки: Nov 24 22:20:34dropbear[23046] Bad password attempt for 'root' from 115.78.228.205:4347 Nov 24 22:20:36dropbear[23046] Core::Syslog: last message repeated 2 times. Nov 24 22:20:38dropbear[23046] Exit before auth (user 'root', 3 fails): Exited normally Кто как с этим борется? P.S. Пробовал посмотреть откуда ломятся по ip, вышло, что из Китая, Кореи, Вьетнама и США. Постоянно заносить новые ip в список заблокированных это не разумно, а создание "белого" списка займет уйму времени. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 25, 2016 Share Posted November 25, 2016 Закройте ssh от доступа из Интернет, или перейдите на использование ключей. 1 Quote Link to comment Share on other sites More sharing options...
Cosmit Posted November 26, 2016 Share Posted November 26, 2016 Можно банально сменить стпндартный порт 22 SSHв в кофиге /opt/etc/init.d/S..dropbear Quote Link to comment Share on other sites More sharing options...
Across Posted November 27, 2016 Author Share Posted November 27, 2016 В 26.11.2016 в 08:52, Cosmit сказал: Можно банально сменить стпндартный порт 22 SSHв в кофиге /opt/etc/init.d/S..dropbear Что интересно, то порты используются рандомные, больше похожи на порты torrent-клиента. Quote Link to comment Share on other sites More sharing options...
r13 Posted November 27, 2016 Share Posted November 27, 2016 27 минут назад, Across сказал: Что интересно, то порты используются рандомные, больше похожи на порты torrent-клиента. Это же порты источника, они зачастую всегда рандомные, а порт назначения 22 Quote Link to comment Share on other sites More sharing options...
Across Posted November 27, 2016 Author Share Posted November 27, 2016 1 час назад, r13 сказал: Это же порты источника, они зачастую всегда рандомные, а порт назначения 22 Тогда лог не информативный. Зачем мне знать с какого порта ломятся ко мне? Мне важен ip источника и порт назначения. Остальное - лишнее. Quote Link to comment Share on other sites More sharing options...
r13 Posted November 28, 2016 Share Posted November 28, 2016 14 часа назад, Across сказал: Тогда лог не информативный. Зачем мне знать с какого порта ломятся ко мне? Мне важен ip источника и порт назначения. Остальное - лишнее. А это уже вопрос к вашему dropbear, что он в лог откинул, ndms тут ни при чем, к тому же сеть ваша и вы по хорошему знаете какие порты у вас открыты и какие сервисы на этих портах висят. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.