Кто-то лезет в роутер

0

2

Всем привет.
Залил dd-wrt 2015-го года вместо прошивки версии 2010-го года. И заметил, что роутер периодически начал фризить.
Включил логи, а там вот что увидел:

Jan 18 14:40:30 DD-WRT authpriv.warn dropbear[3473]: Bad password attempt for 'root' from 122.225.109.103:47373
Jan 18 14:40:30 DD-WRT authpriv.warn dropbear[3469]: Bad password attempt for 'root' from 122.225.109.103:38946
Jan 18 14:40:31 DD-WRT authpriv.warn dropbear[3473]: Bad password attempt for 'root' from 122.225.109.103:47373
Jan 18 14:40:31 DD-WRT authpriv.warn dropbear[3470]: Bad password attempt for 'root' from 122.225.109.103:44156
Jan 18 14:40:31 DD-WRT authpriv.warn dropbear[3469]: Bad password attempt for 'root' from 122.225.109.103:38946
Jan 18 14:40:32 DD-WRT authpriv.warn dropbear[3471]: Bad password attempt for 'root' from 122.225.109.103:44700
Jan 18 14:40:32 DD-WRT authpriv.warn dropbear[3469]: Bad password attempt for 'root' from 122.225.109.103:38946
Jan 18 14:40:33 DD-WRT authpriv.warn dropbear[3469]: Bad password attempt for 'root' from 122.225.109.103:38946
Jan 18 14:40:35 DD-WRT authpriv.warn dropbear[3472]: Bad password attempt for 'root' from 122.225.109.103:45818
Jan 18 14:40:35 DD-WRT authpriv.warn dropbear[3469]: Bad password attempt for 'root' from 122.225.109.103:38946
Jan 18 14:40:36 DD-WRT authpriv.warn dropbear[3472]: Bad password attempt for 'root' from 122.225.109.103:45818
Jan 18 14:40:36 DD-WRT authpriv.warn dropbear[3469]: Bad password attempt for 'root' from 122.225.109.103:38946
Jan 18 14:40:36 DD-WRT authpriv.warn dropbear[3472]: Bad password attempt for 'root' from 122.225.109.103:45818
Jan 18 14:40:37 DD-WRT authpriv.warn dropbear[3469]: Bad password attempt for 'root' from 122.225.109.103:38946
Jan 18 14:40:37 DD-WRT authpriv.info dropbear[3469]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from 122.225.109.103:38946
Jan 18 14:40:38 DD-WRT authpriv.warn dropbear[3472]: Bad password attempt for 'root' from 122.225.109.103:45818
Jan 18 14:40:39 DD-WRT authpriv.warn dropbear[3473]: Bad password attempt for 'root' from 122.225.109.103:47373
Jan 18 14:40:39 DD-WRT authpriv.info dropbear[3472]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from 122.225.109.103:45818
Jan 18 14:40:45 DD-WRT authpriv.warn dropbear[3473]: Bad password attempt for 'root' from 122.225.109.103:47373
Jan 18 14:40:46 DD-WRT authpriv.warn dropbear[3470]: Bad password attempt for 'root' from 122.225.109.103:44156
Jan 18 14:40:47 DD-WRT authpriv.warn dropbear[3470]: Bad password attempt for 'root' from 122.225.109.103:44156
Jan 18 14:40:48 DD-WRT authpriv.warn dropbear[3470]: Bad password attempt for 'root' from 122.225.109.103:44156
Jan 18 14:40:49 DD-WRT authpriv.warn dropbear[3470]: Bad password attempt for 'root' from 122.225.109.103:44156
Jan 18 14:40:49 DD-WRT authpriv.info dropbear[3470]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from 122.225.109.103:44156
Jan 18 14:40:52 DD-WRT authpriv.warn dropbear[3473]: Bad password attempt for 'root' from 122.225.109.103:47373
Jan 18 14:41:01 DD-WRT authpriv.warn dropbear[3473]: Bad password attempt for 'root' from 122.225.109.103:47373
Jan 18 14:41:02 DD-WRT authpriv.warn dropbear[3473]: Bad password attempt for 'root' from 122.225.109.103:47373
Jan 18 14:41:02 DD-WRT authpriv.info dropbear[3473]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from 122.225.109.103:47373
Jan 18 14:41:04 DD-WRT authpriv.warn dropbear[3475]: Bad password attempt for 'root' from 122.225.109.103:56540
Jan 18 14:41:06 DD-WRT authpriv.warn dropbear[3474]: Bad password attempt for 'root' from 122.225.109.103:55900
Jan 18 14:41:06 DD-WRT authpriv.warn dropbear[3475]: Bad password attempt for 'root' from 122.225.109.103:56540
Jan 18 14:41:07 DD-WRT authpriv.warn dropbear[3475]: Bad password attempt for 'root' from 122.225.109.103:56540
Jan 18 14:41:08 DD-WRT authpriv.warn dropbear[3475]: Bad password attempt for 'root' from 122.225.109.103:56540
Jan 18 14:41:10 DD-WRT authpriv.warn dropbear[3475]: Bad password attempt for 'root' from 122.225.109.103:56540
Jan 18 14:41:13 DD-WRT authpriv.warn dropbear[3475]: Bad password attempt for 'root' from 122.225.109.103:56540
Jan 18 14:41:13 DD-WRT authpriv.warn dropbear[3475]: Bad password attempt for 'root' from 122.225.109.103:56540
Jan 18 14:41:14 DD-WRT authpriv.warn dropbear[3475]: Bad password attempt for 'root' from 122.225.109.103:56540
Jan 18 14:41:17 DD-WRT authpriv.warn dropbear[3475]: Bad password attempt for 'root' from 122.225.109.103:56540
Jan 18 14:41:18 DD-WRT authpriv.warn dropbear[3475]: Bad password attempt for 'root' from 122.225.109.103:56540
Jan 18 14:41:18 DD-WRT authpriv.info dropbear[3475]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from 122.225.109.103:56540
Jan 18 14:41:26 DD-WRT authpriv.warn dropbear[3474]: Bad password attempt for 'root' from 122.225.109.103:55900
Jan 18 14:41:37 DD-WRT authpriv.warn dropbear[3474]: Bad password attempt for 'root' from 122.225.109.103:55900
Jan 18 14:41:40 DD-WRT authpriv.warn dropbear[3476]: Bad password attempt for 'root' from 122.225.109.103:1390
Jan 18 14:42:08 DD-WRT authpriv.warn dropbear[3474]: Bad password attempt for 'root' from 122.225.109.103:55900
Jan 18 14:42:33 DD-WRT authpriv.warn dropbear[3478]: Bad password attempt for 'root' from 122.225.109.103:6830
Jan 18 14:42:33 DD-WRT authpriv.warn dropbear[3478]: Bad password attempt for 'root' from 122.225.109.103:6830
Jan 18 14:42:34 DD-WRT authpriv.warn dropbear[3478]: Bad password attempt for 'root' from 122.225.109.103:6830
Jan 18 14:42:42 DD-WRT authpriv.warn dropbear[3478]: Bad password attempt for 'root' from 122.225.109.103:6830
Jan 18 14:42:43 DD-WRT authpriv.warn dropbear[3478]: Bad password attempt for 'root' from 122.225.109.103:6830
Jan 18 14:42:43 DD-WRT authpriv.warn dropbear[3478]: Bad password attempt for 'root' from 122.225.109.103:6830
Jan 18 14:42:49 DD-WRT authpriv.warn dropbear[3474]: Bad password attempt for 'root' from 122.225.109.103:55900
Jan 18 14:42:50 DD-WRT authpriv.warn dropbear[3478]: Bad password attempt for 'root' from 122.225.109.103:6830
Jan 18 14:42:51 DD-WRT authpriv.warn dropbear[3478]: Bad password attempt for 'root' from 122.225.109.103:6830
Jan 18 14:42:54 DD-WRT authpriv.warn dropbear[3478]: Bad password attempt for 'root' from 122.225.109.103:6830
Jan 18 14:42:54 DD-WRT authpriv.warn dropbear[3478]: Bad password attempt for 'root' from 122.225.109.103:6830
Jan 18 14:42:55 DD-WRT authpriv.info dropbear[3478]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from 122.225.109.103:6830
Jan 18 14:43:21 DD-WRT authpriv.warn dropbear[3479]: Bad password attempt for 'root' from 122.225.109.103:26409
Jan 18 14:43:27 DD-WRT authpriv.warn dropbear[3479]: Bad password attempt for 'root' from 122.225.109.103:26409
Jan 18 14:43:28 DD-WRT authpriv.warn dropbear[3479]: Bad password attempt for 'root' from 122.225.109.103:26409
Jan 18 14:43:30 DD-WRT authpriv.warn dropbear[3479]: Bad password attempt for 'root' from 122.225.109.103:26409
Jan 18 14:43:32 DD-WRT authpriv.warn dropbear[3474]: Bad password attempt for 'root' from 122.225.109.103:55900
Jan 18 14:43:33 DD-WRT authpriv.warn dropbear[3474]: Bad password attempt for 'root' from 122.225.109.103:55900
Jan 18 14:43:33 DD-WRT authpriv.warn dropbear[3479]: Bad password attempt for 'root' from 122.225.109.103:26409
Jan 18 14:43:34 DD-WRT authpriv.warn dropbear[3474]: Bad password attempt for 'root' from 122.225.109.103:55900
Jan 18 14:43:34 DD-WRT authpriv.warn dropbear[3479]: Bad password attempt for 'root' from 122.225.109.103:26409
Jan 18 14:43:34 DD-WRT authpriv.warn dropbear[3474]: Bad password attempt for 'root' from 122.225.109.103:55900
Jan 18 14:43:35 DD-WRT authpriv.warn dropbear[3479]: Bad password attempt for 'root' from 122.225.109.103:26409
Jan 18 14:43:35 DD-WRT authpriv.warn dropbear[3474]: Bad password attempt for 'root' from 122.225.109.103:55900
Jan 18 14:43:36 DD-WRT authpriv.info dropbear[3474]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from 122.225.109.103:55900
Jan 18 14:43:39 DD-WRT authpriv.warn dropbear[3479]: Bad password attempt for 'root' from 122.225.109.103:26409
Jan 18 14:43:41 DD-WRT authpriv.warn dropbear[3479]: Bad password attempt for 'root' from 122.225.109.103:26409
Jan 18 14:43:42 DD-WRT authpriv.warn dropbear[3479]: Bad password attempt for 'root' from 122.225.109.103:26409
Jan 18 14:43:42 DD-WRT authpriv.info dropbear[3479]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from 122.225.109.103:26409
Jan 18 14:43:44 DD-WRT authpriv.info dropbear[3471]: Exit before auth (user 'root', 1 fails): Error reading: Connection reset by peer
Jan 18 14:43:44 DD-WRT authpriv.info dropbear[3480]: Exit before auth: Error writing: Connection reset by peer
Jan 18 14:46:41 DD-WRT authpriv.info dropbear[3477]: Exit before auth: Timeout before auth
Jan 18 14:46:41 DD-WRT authpriv.info dropbear[3476]: Exit before auth (user 'root', 1 fails): Timeout before auth

Роутер D-Link DIR300

Ссылка

←	Настройка маршрутизации dd-wrt для l2tp Билайн

openwrt dhcp doesn't work

→

а нафига ты его наружу выставил?

wlan ★★
(18.01.15 16:01:05 MSK)

Ну лезут и лезут, это же китайцы. Ко мне тоже стучались с этой сети в конце декабря. С 122.225.109.207 и 122.225.109.211.

Lavos ★★★★★
(18.01.15 16:02:58 MSK)

Ссылка

ssh с 22 порта перевесь на 8022 для внешней сети, лол

~~snoopcat~~ ★★★★★
(18.01.15 16:04:24 MSK)

В чём суть проблемы? Можно повесить ssh на другой порт и закрыть роутер от сканирования. А мешает? Может быть тогда поменять пароль рута на «root», чтобы не ломились всякие?

wakuwaku ★★★★
(18.01.15 16:04:55 MSK)

Ответ на: комментарий от snoopcat 18.01.15 16:04:24 MSK

Это же неудобно... Лучше через iptables -m recent банить узкоглазых. dd-wrt же умеет в iptables?

Lavos ★★★★★
(18.01.15 16:06:28 MSK)

Ответ на: комментарий от wakuwaku 18.01.15 16:04:55 MSK

А нормальное решение - дать доступ по ssh лишь для диапазона внутренних адресов? Ну и порт поменять.

xoomer ★
(18.01.15 16:07:10 MSK) автор топика

Ответ на: комментарий от wakuwaku 18.01.15 16:04:55 MSK

А мешает?

У домашних роутеров очень слабые процессоры. Если канал от провайдера достаточно толстый, и запросы к SSH идут очень часто, то такой подбор пароля может сжирать CPU.

Deleted
(18.01.15 16:07:38 MSK)

Ссылка

Ответ на: комментарий от Lavos 18.01.15 16:06:28 MSK

Умеет он.

xoomer ★
(18.01.15 16:07:50 MSK) автор топика

Ссылка

Ответ на: комментарий от wlan 18.01.15 16:01:05 MSK

а нафига ты его наружу выставил?

Как? У меня нет выделенного ip.

xoomer ★
(18.01.15 16:08:55 MSK) автор топика

Короче, народ. Как умнее защититься? По шагам объясните, плз. Ибо, грубо говоря, все что я знаю о сетях это - что такое DHCP.

xoomer ★
(18.01.15 16:10:48 MSK) автор топика

Ответ на: комментарий от xoomer 18.01.15 16:08:55 MSK

Если бы роутер был за NAT, они бы не достучались никогда.

Gotf ★★★
(18.01.15 16:11:36 MSK)

Ответ на: комментарий от xoomer 18.01.15 16:10:48 MSK

Тебе - поставить родную прошивку, запретить управление и icmp снаружи. Dixi.

dhameoelin ★★★★★
(18.01.15 16:12:52 MSK)

Ответ на: комментарий от dhameoelin 18.01.15 16:12:52 MSK

Нужна эта. Тут много твиков 802.11n, а мне это надо. Живу в частном секторе, здесь даже 40МГц широту можно запускать.

xoomer ★
(18.01.15 16:16:21 MSK) автор топика

Ответ на: комментарий от xoomer 18.01.15 16:16:21 MSK

Говно DIR-300 какой аппаратной ревизии? А то, скорее всего, есть смысл поменять говно на роутер. Ты только не принимай близко к сердцу, но говно - говно, а DIR-300 - ещё и редкостное, имхо.

dhameoelin ★★★★★
(18.01.15 16:20:51 MSK)

Ответ на: комментарий от dhameoelin 18.01.15 16:20:51 MSK

Да, позвонил провайдеру - оказался выделенный у меня IP.
Ревизия b.

xoomer ★
(18.01.15 16:24:05 MSK) автор топика

Ответ на: комментарий от xoomer 18.01.15 16:07:10 MSK

Если доступ извне не нужен, почему нет? И всё же, за частые попытки подключений лучше банить. А ещё можно настроить port-knocking для ssh, теоретически это максимально безопасно в результате будет. Кроме того, кажется, putty.exe так умеет подключаться. Только не преврати роутер в кирпич в процессе. :>

wakuwaku ★★★★
(18.01.15 16:24:21 MSK)

Ответ на: комментарий от wakuwaku 18.01.15 16:24:21 MSK

Блин, надо курить iptables. :-\
Нет времени пока.

А нормальное решение - дать доступ по ssh лишь для диапазона внутренних адресов? Ну и порт поменять.

xoomer ★
(18.01.15 16:28:00 MSK) автор топика

Ссылка

галку в вебморде убери.. тебе ssh один фиг ни к чему как я понял.

jo_b1ack ★★★★★
(18.01.15 16:31:42 MSK)

Ответ на: комментарий от Lavos 18.01.15 16:06:28 MSK

Это же неудобно...

не припоминаю, когда ходил на роутер извне.

~~snoopcat~~ ★★★★★
(18.01.15 16:33:09 MSK)

Ссылка

Ответ на: комментарий от jo_b1ack 18.01.15 16:31:42 MSK

Убрал.

Кроме галки, этого:
http://itmag.es/3Loox
хватит?

xoomer ★
(18.01.15 16:36:37 MSK) автор топика

Ответ на: комментарий от xoomer 18.01.15 16:36:37 MSK

не ту ты галку убрал, эта галка как раз и ограничивает доступ к ssh :-D, тебе в вкладку администрирование надо и вообще приглушить ssh

jo_b1ack ★★★★★
(18.01.15 16:39:12 MSK)

Ответ на: комментарий от jo_b1ack 18.01.15 16:39:12 MSK

тебе в вкладку администрирование надо и вообще приглушить ssh

я именно ту что ты говоришь и убрал

а эту, что на скине не трогал.

xoomer ★
(18.01.15 16:40:51 MSK) автор топика

Ссылка

На вкладке Administration переключить в disable

Web GUI Management
SSH Management
Telnet Management

Из локалки доступ останется.

Всё!

~~sdio~~ ★★★★★
(18.01.15 16:46:07 MSK)

Ответ на: комментарий от xoomer 18.01.15 16:24:05 MSK

Да, позвонил провайдеру - оказался выделенный у меня IP.

Что значит «выделенный IP» ? Нет такого термина. А приватный или нет - это определяется, глядя в RFC 6890 и RFC 6598.

AS ★★★★★
(18.01.15 16:48:09 MSK)

Ответ на: комментарий от AS 18.01.15 16:48:09 MSK

И на приватный адрес ему стучатся китайцы. Поумней, не цепляйся к словам.

~~sdio~~ ★★★★★
(18.01.15 16:50:20 MSK)

Ответ на: комментарий от sdio 18.01.15 16:46:07 MSK

Спасибо!
Именно поотключать то, что выделил?
http://imgdisk.ru/image/dmh
(Боюсь чтобы с внутренней сетки доступ не пропал :D )

xoomer ★
(18.01.15 16:51:23 MSK) автор топика

Ссылка

Ответ на: комментарий от dhameoelin 18.01.15 16:20:51 MSK

есть смысл поменять говно на роутер.

Как это поможет решить проблему ТС ? :-) От того, что будет более мощный процессор, просто увеличится порог возникновения перегрузки. Будет не 1 сессия по перебору критична, а десяток, только и всего.

AS ★★★★★
(18.01.15 16:54:44 MSK)

Ссылка

Ответ на: комментарий от sdio 18.01.15 16:50:20 MSK

не цепляйся к словам.

Правильная терминология - залог внятного описания проблемы.

AS ★★★★★
(18.01.15 16:56:18 MSK)

Ответ на: комментарий от AS 18.01.15 16:56:18 MSK

Уж прости, но читать RFC времени тоже нет, ровно как и разбираться с iptables и включать заново ssh. :-)

xoomer ★
(18.01.15 16:57:36 MSK) автор топика

Ссылка

Запили fail2ban, или вообще убери ssh с внешнего интерфеса если не нужно, или перебрось на нестандартный порт.

MrClon ★★★★★
(18.01.15 17:08:15 MSK)

Ссылка

Ответ на: комментарий от AS 18.01.15 16:56:18 MSK

Он внятно описал: «ломятся снаружи», здесь вопросы о его внешнем IP адресе может задать только неуч.

~~sdio~~ ★★★★★
(18.01.15 17:08:39 MSK)

Ответ на: комментарий от sdio 18.01.15 17:08:39 MSK

здесь вопросы о его внешнем IP адресе может задать только неуч.

Вот что мог сделать неуч, так это не понять смысл моей фразы. Это извинительно только для того, у кого русский не является родным языком.

AS ★★★★★
(18.01.15 17:47:53 MSK)

Ответ на: комментарий от AS 18.01.15 17:47:53 MSK

Смысл твоей фразы понятен, но он как часто у тебя бывает нахер тут не нужен. Тебе лишь бы выпендреться.

~~sdio~~ ★★★★★
(18.01.15 18:00:08 MSK)

Ответ на: комментарий от sdio 18.01.15 18:00:08 MSK

но он как часто у тебя бывает нахер тут не нужен.

Он в следующий раз нужен будет, когда человек будет то же самое объяснять.

AS ★★★★★
(18.01.15 18:02:49 MSK)

Ссылка

Ответ на: комментарий от xoomer 18.01.15 16:08:55 MSK

Вроде звездатый, а простых вещей не понимает. Запили фаервол и запрети все коннекты снаружи.

wlan ★★
(18.01.15 22:20:46 MSK)

Ссылка

Ответ на: комментарий от snoopcat 18.01.15 16:04:24 MSK

ssh с 22 порта перевесь на 8022 для внешней сети, лол

Не поможет, лол.

Black_Shadow ★★★★★
(19.01.15 18:02:05 MSK)

Ссылка

iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --mask 255.255.255.255 --rsource
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 7 --name DEFAULT --mask 255.255.255.255 --rsource -j DROP

Black_Shadow ★★★★★
(19.01.15 18:06:21 MSK)

Ссылка

Ответ на: комментарий от Gotf 18.01.15 16:11:36 MSK

Если бы роутер был за NAT, они бы не достучались никогда.

а если бы у роутера был бы длинный 128-битный IPv6-адрес (вместо коротенького 32-битого IPv4) — то тоже не сильно высокая вероятность что ктайцы стали бы сканировать всю IPv6-сеть :-)

user_id_68054 ★★★★★
(19.01.15 18:15:01 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Настройка маршрутизации dd-wrt для l2tp Билайн

Admin

openwrt dhcp doesn't work

→

Похожие темы