szia.

úgy olvastam most jött el a "kívánságok" ideje:

- formázáskor bekapcsolódó, külső eszközre való logolás...(logrotate..?)
- webcam grafikus felület ( esetleg 2 kamera támogatással), az mjpg-streamer paraméterezéssel (?)
ja igen...

- leválasztott extroot-os eszköz visszacsatolása....

előre is a munkádért.

[ Szerkesztve ]

8lnu

extroot-os eszközt nem lehet leválasztani, ahogy a windows alól sem húzhatod ki a c meghajtót! Itt már a leválasztás is bajos, nem, hogy a visszacsatolás!

[ Szerkesztve ]

valaki segítsen lécci:
ha több időre akarom kitiltani az ssh-n próbálkozót, akkor itt kell módosítanom a tűzfalban:

iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --update --seconds 60 --hitcount $BRUTEFORCE_PROTECTION_START

mondjuk átírhatom 3600-ra (meg a következő sorban is gondolom)???

fel akarnak törni?

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

Szinte mindenkit, csak van aki észre sem veszi...

persze gondolom,én sem lehetek kivétel ezalól
csak azt nem tudom mit élveznek ezen a kiv vágottszemű gyökerek...

egyébként a rendszernaplóban látható ez vagy hol és milyen módon vagy formában?

[ Szerkesztve ]

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

igen,
eddig nem használtam SSH-t, le is volt tiltva a rendszerindításban, és így nem volt gondom vele....

valaki tudja a választ?

próbáld meg először 600-as értékkel gondolom működni kellene neki
aztán ha 600-sec-el megy akkor lehet adni neki...

bár alex biztos pontosabban meg tudja mondani...

[ Szerkesztve ]

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

Szia!

Igen, a 600-at lehet módosítani bármire. De fura, hogy a 2222-es porton próbálkoznak. Biztos nincs nyitva nálad a 22-es port? A log-ban megjelenik a BRUTE FORCE bejegyzés?

[ Szerkesztve ]

Alex

Szia Alex!

Ez a két sor az egyéni szabályok végére beillesztve nyithat rést a tűtfalban?

iptables -N traffic
iptables -I FORWARD -j traffic

Steve

Régen sok gondom volt WR842ND-n OpenWrt-vel: rejtélyes újraindulások. Nos, egy hete átköltöztettem a routert a szekrény tetejéről az előszobába, azóta gond nélkül megy...

Sziasztok.
Nálam ez megy már jó ideje. A vágott-szemű kitartóan próbálkozik. Kellene aggódnom? Vagy tehetek ellene valamit, vagy ne törődjek vele?

Jan 11 11:00:18 OpenWrt authpriv.warn dropbear[11290]: Login attempt for nonexistent user from 116.229.239.242:42981
Jan 11 11:00:19 OpenWrt authpriv.info dropbear[11290]: Exit before auth: Disconnect received
Jan 11 11:00:41 OpenWrt authpriv.info dropbear[11291]: Child connection from 116.229.239.242:54202
Jan 11 11:00:45 OpenWrt authpriv.warn dropbear[11291]: Login attempt for nonexistent user from 116.229.239.242:54202
Jan 11 11:00:46 OpenWrt authpriv.info dropbear[11291]: Exit before auth: Disconnect received
Jan 11 11:01:09 OpenWrt authpriv.info dropbear[11292]: Child connection from 116.229.239.242:1444
Jan 11 11:01:12 OpenWrt authpriv.warn dropbear[11292]: Login attempt for nonexistent user from 116.229.239.242:1444
Jan 11 11:01:13 OpenWrt authpriv.info dropbear[11292]: Exit before auth: Disconnect received
Jan 11 11:01:36 OpenWrt authpriv.info dropbear[11355]: Child connection from 116.229.239.242:12668
Jan 11 11:01:39 OpenWrt authpriv.warn dropbear[11355]: Login attempt for nonexistent user from 116.229.239.242:12668
Jan 11 11:01:40 OpenWrt authpriv.info dropbear[11355]: Exit before auth: Disconnect received
Jan 11 11:02:04 OpenWrt authpriv.info dropbear[11356]: Child connection from 116.229.239.242:23904
Jan 11 11:02:07 OpenWrt authpriv.warn dropbear[11356]: Login attempt for nonexistent user from 116.229.239.242:23904
Jan 11 11:02:08 OpenWrt authpriv.info dropbear[11356]: Exit before auth: Disconnect received
Jan 11 11:02:32 OpenWrt authpriv.info dropbear[11357]: Child connection from 116.229.239.242:35136
Jan 11 11:02:36 OpenWrt authpriv.warn dropbear[11357]: Login attempt for nonexistent user from 116.229.239.242:35136
Jan 11 11:02:37 OpenWrt authpriv.info dropbear[11357]: Exit before auth: Disconnect received

[ Szerkesztve ]

na most az igazi
leállítottam a dropbear-t, mondom még véletlenül se találjon be
elötte csak az ssh bejelentkezési próba látszott ip-vel
most ezzel van tele a log:
Jan 11 11:05:28 OpenWrt kern.warn kernel: [548698.900000] BruteForce-SSH IN=eth0.2 OUT= MAC=00:50:8d:60:9c:ca:00:01:5c:33:e7:01:08:00:45:00:00:3c SRC=116.229.239.242 DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=35 ID=48600 DF PROTO=TCP SPT=17607 DPT=2222 WINDOW=5840

és állandóan ugyan az a MAC és az IP is
hogy lehet kitiltani örökre? (116.229.239.242 )

na ugyan az nyaggatja az én routerem is ....szép
feketelista nincs????

nálam most ezzel van tele
Jan 11 10:16:35 OpenWrt authpriv.info dropbear[23787]: Child connection from 221.139.3.177:35390
Jan 11 10:16:38 OpenWrt authpriv.warn dropbear[23787]: Login attempt for nonexistent user from 221.139.3.177:35390
Jan 11 10:16:39 OpenWrt authpriv.info dropbear[23787]: Exit before auth: Disconnect received

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

akkor nem értem
alex hozzászólása után, arra gondolok hogy ha működne a támadás elleni kitiltás, akkor az látszódna a logban
de ez ezek szerint nálad sem látszik, meg nálam sem,meg másnál sem
ellenben leálított dropbear-nél meg látszik
megpróbálod te is leállítani majd, és úgy megnézni luci-ból, hogy akkor mi lesz a logban?

[ Szerkesztve ]

persze csak távolról nem akarom buzerálni,majd ha hazaértem akkor megnézem
pontosan hol lehet a dropbear-t leállítani?
rendszer-->adminisztráció-->ssh hozzáférés?

[ Szerkesztve ]

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

Én itthon vagyok, szívesen leállítom, csak mit és hol?

luci/rendszer/rendszerindítás/ dropbear mellett, jobb szélen a"leállítás" gombbal
ha lucihoz hozzáférsz távolról, akkor simán kipróbálhatod, a luci-t továbbra is el fogod érni...

elméletileg leállítottam most de az engedélyezve ugyanúgy maradt,gondolom ez így jó akkor mindjárt nézek logot is.
Jan 11 11:28:37 OpenWrt authpriv.info dropbear[2268]: Premature exit: Terminated by signal

[ Szerkesztve ]

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

Sziasztok!

pityu8, suste, Kicsirics77: valamelyikőtök adjon már privátban egy WAN IP címet, hogy megnézzem, hogy valóban nem nyitott-e a 22-es port! (root jelszó nem kell, mert belépni nem akarok)

Szerk.: Most direkt kipróbáltam nálam, alap tűzfal beállításokkal. 4-ik kísérletre már nem engedett be, a logok is normálisak:

Jan 11 11:33:03 kernel: [ 556.120000] BruteForce-SSH IN=eth0.2 OUT= MAC=00:27:19:ec:d3:9c:18:03:73:7f:d4:bb:08:00:45:00:00:34 SRC=192.168.2.157 DST=192.168.2.194 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=31841 DF PROTO=TCP SPT=52404 DPT=2222 WINDOW=8192 RE
Jan 11 11:33:06 kernel: [ 559.120000] BruteForce-SSH IN=eth0.2 OUT= MAC=00:27:19:ec:d3:9c:18:03:73:7f:d4:bb:08:00:45:00:00:34 SRC=192.168.2.157 DST=192.168.2.194 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=31860 DF PROTO=TCP SPT=52404 DPT=2222 WINDOW=8192 RE
Jan 11 11:33:12 kernel: [ 565.120000] BruteForce-SSH IN=eth0.2 OUT= MAC=00:27:19:ec:d3:9c:18:03:73:7f:d4:bb:08:00:45:00:00:30 SRC=192.168.2.157 DST=192.168.2.194 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=31882 DF PROTO=TCP SPT=52404 DPT=2222 WINDOW=8192 RE

[ Szerkesztve ]

Alex

az elején az engedélyezve azt jelenti, hogy legközelebbi router ujrainduláskor el fog indulni, az aktuális állapotot nem jelöli itt
na ez nálam alapból "letiltva"

szia!
Nálam is megnézheted, csak azt írtam hozzá, amit korábban kérdeztem.

Steve

Leállítottam, ugyanaz a szitu. A vigwam.sztaki.hu-n néztem, az szerint minden port láthatatlan.
Küldöm az IP-t.

PS.: Rossz helyen, az elején állítottam le.... Most nincs semmi a logban!
De gondolom kell nekem a dropbear.

[ Szerkesztve ]

Persze így, hogy most mind a hárman leállítottátok a dropbeart, egyikőtöknél sem tudom ellenőrizni, amit szeretnék.

Alex

mindjárt ujraindítom neked és akkor nézheted.
running

[ Szerkesztve ]

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

küldtem én is ip-t privátban

az nemtudom számít-e, de látszik hogy mindíg másik portról próbálkozik

már csak ezek a bejegyzések vannal a logokban

szerk, én is beinditom az SSH-t

szerk2: már fut

[ Szerkesztve ]

Melege volt odafent! Sajnos ilyen van!

Szia!

Az látszik, hogy ssh-n normálisan a 2222-es porton érhető el a router. Pont azért tettem át a default 22-ről, hogy lehetőség szerint ne is nagyon próbálkozzanak rajta. Ezek szerint mégis.

Egyébként természetesen van lehetőség a tűzfalon bizonyos IP cím, vagy akár tartomány tiltására is.

Alex

Elindítottam, és újra irkálja a log-ba.

Child connection from bla.bal.bla:port

akkor ez te voltál?

[ Szerkesztve ]

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

próbáltál betörni hozzánk?
kitilt?

Jó lenne az ehhez hasonló apró kis trükköket összegyűjteni, mert ez a 15 ezredik hsz. környékén van, mi meg most a 36 ezredik környékén járunk. Soha az életben nem találtam volna meg a segítséged nélkül! Köszönöm.

én most megpróbáltam kitiltani azt az ip-t, meglátjuk mi lesz
1.1.5-ben ugye itt kell:
luci/hálózat/tűzfal/forgalmi szabályok/ és az "új továbítási szabály" , és a művelet "eldobás" ?
IP-t csak akkor eszi meg, ha a "protokoll"-t "bármelyik" -re állítottam.

szerk
valamit nemjól csinálok mert továbbra is látszik a logban a próbálkozás

[ Szerkesztve ]

Neked sikerült kitiltanod Mert nekem nem.

mint látod már 2en vagyunk ezzel.....megvárjuk Kicsirics77-et is

Ha egyszer hazaérek

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

Én is csatlakozom az áldozatokhoz, 2 napja megbombázták a 2222-es portomat. Kötsögök

"I've seen things you people wouldn't believe"

Na átettem a cél zónát Wan-ról eszköze. Most ez van a logban. Így már percenként kb. csak 5x próbálkozik.
"Kis lépés az embernek, de....."
Jan 11 12:38:49 OpenWrt user.err firewall: redirect : target must be either DNAT or SNAT, skipping
Jan 11 12:38:49 OpenWrt user.info firewall: adding lan (br-lan) to zone lan
Jan 11 12:38:49 OpenWrt user.info firewall: adding wan (eth1) to zone wan
Jan 11 12:39:26 OpenWrt kern.warn kernel: [ 1997.810000] BruteForce-SSH IN=eth1 OUT= MAC=64:70:02:4c:3d:d1:00:0e:b6:2a:31:59:08:00 SRC=116.229.239.242 DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=38 ID=45721 DF PROTO=TCP SPT=9153 DPT=2222 WINDOW=5840 RES=0x00 SYN URG

Sziasztok!

Ha valamelyikőtök ad hozzáférést is, akkor szívesen megnézem, hogy mit nem állítottatok be jól a tiltásban. Annak működnie kell.

Alex

Hát szerintem semmit nem csináltál, mert még mindíg ott a próbálkozás.
Ha sikerülne kitiltanod, akkor nem tudna próbálkozni.....

Alex: jelszó ment

[ Szerkesztve ]

akkor várok mi lesz...

.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--

Tele vagyok ilyennel:

BruteForce-SSH IN=pppoe-wan OUT= MAC= SRC=207.223.243.125 DST=188.143.126.142 LEN=60 TOS=0x00 PREC=0x00 TTL=42 ID=4417 DF PROTO=TCP SPT=43023 DPT=2222 WINDOW=5840 RES=0x00 SYN URGP=0
[297393.860000] smbd: page allocation failure: order:0, mode:0x20
[297393.860000] Call Trace:[<80280438>] 0x80280438

Ez meg a legfrissebb bejegyzés:

[297397.460000] ath: skbuff alloc of size 1926 failed
[297397.460000] eth0: out of memory
[375472.080000] device wlan0 left promiscuous mode
[375472.080000] br-lan: port 2(wlan0) entered disabled state

Ebből elég sok van: [297397.460000] ath: skbuff alloc of size 1926 failed

Aki nem próbálja meg a lehetetlent, az a lehetségest sem fogja elérni soha. (Goethe) RaidX

ok, ezek szerint tényleg mindenkit támadnak 1000-rel, csak legfeljebb nem veszi észre
DE: amíg nem indítottam el a dropbear-t, addig nálam nem volt ilyen támadás az tuti, logban semmi ilyen nem volt
viszont most már hiába állítom le a dropbear-t, a támadások ugyan úgy megvannak
igaz, elvileg semmire nem mehetnek, mert nincsen ahova belépjenek....ugye jól gondolom????

ja, és rémlik, hogy be lehet állitani a dropbear-t, hogy csak belső hálón menjen, ugye?

[ Szerkesztve ]

Nem támadnak mindenkit.
Nekem mindössze ennyi van.:

Jan 11 11:12:55 dropbear[23927]: Child connection from 174.143.255.179:34297
Jan 11 11:12:57 dropbear[23927]: Bad password attempt for 'root' from 174.143.255.179:34297
Jan 11 11:12:57 dropbear[23927]: Exit before auth (user 'root', 1 fails): Disconnect received

7 napja megy a router.

Apropó Alex, a rendszer valamint a cron naplózást melyik szintre kell állítani, hogy a lehető "legérzékenyebb" legyen?
Nekem most mindkettő hibakeresésen van.

[ Szerkesztve ]

Én is
[601910.970000] BruteForce-SSH IN=eth0.2 OUT= MAC=74:ea:3a:a5:cb:64:00:90:1a:42:57:29:08:00:45:00:00:3c SRC=207.223.243.125 DST=Sze.Ret.Néd.Tudni LEN=60 TOS=0x00 PREC=0x00 TTL=47 ID=51464 DF PROTO=TCP SPT=50854 DPT=2222 WINDOW=5840 RES=0x00 SYN URGP=0

Valaki rányomult az Alex féle OpenWRT-re.
Fura, hogy ua. a source ip.

[ Szerkesztve ]

Nekem múltkor valami kínai IP-ről próbálkoztak. Én lekorlátoztam dropbear-t LAN interface-re. Úgyse szoktam WAN felől SSH-zni.

Ami működik, ahhoz nem nyúlunk.

igen, pont ezen gondolkodtam, hogy addig jó a 2222-es port elbújásra, amíg valaki rá nem jön
és mi itt elég sokat emlegettük.....szóval könnyen rá lehet találni.....

lehet az lesz a jó ha mindenki átáll egy saját maga kitalált portra, és nem osztjuk meg sehol.....

[ Szerkesztve ]

na pont ezt kérdeztem az elöbb.....