Любителям перевешивать ssh на другой порт

1

1

Серверу один день. Глянул интереса ради

94.191.44.208 - - [19/Feb/2019:16:12:39 +0600] "GET /cacti/plugins/weathermap/editor.php HTTP/1.1" 404 169 "-" "Mozilla/5.0 (Windows NT
94.191.44.208 - - [19/Feb/2019:16:12:39 +0600] "POST /wuwu11.php HTTP/1.1" 404 571 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537
94.191.44.208 - - [19/Feb/2019:16:12:39 +0600] "POST /xw.php HTTP/1.1" 404 571 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36
94.191.44.208 - - [19/Feb/2019:16:12:40 +0600] "POST /xw1.php HTTP/1.1" 404 571 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36
94.191.44.208 - - [19/Feb/2019:16:12:42 +0600] "POST /9678.php HTTP/1.1" 404 571 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.3
94.191.44.208 - - [19/Feb/2019:16:12:43 +0600] "POST /wc.php HTTP/1.1" 404 571 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36
149.202.191.218 - - [19/Feb/2019:16:12:43 +0600] "\x15\x03\x01\x00\x02\x02P" 400 173 "-" "-" "-"
149.202.191.218 - - [19/Feb/2019:16:12:43 +0600] "\x15\x03\x01\x00\x02\x02P" 400 173 "-" "-" "-"

и такого сотни. На какой порт nginx перевешиваете? :)

Ссылка

←	Олег Чурюмов протестует против угнетающего его Амазона

Решение квадратных уравнений

→

← 1 2 →

забей :)

Harald ★★★★★
(20.02.19 03:50:32 MSK)

Ссылка

Чтоэта? Каким боком лог nginx к ssh?

То, что боты срут HTTP-запросами в любой открытый порт, давно не новость, но что вы имеете против перевешивания ssh?

quwy
(20.02.19 03:57:41 MSK)

Освойте fail2ban - и будет вам счастье.

DawnCaster ★★
(20.02.19 04:09:35 MSK)

Ответ на: комментарий от quwy 20.02.19 03:57:41 MSK

То, что боты срут HTTP-запросами

И не только HTTP запросами. У меня в VPS'ки срут вообще всем чем только можно во все открытые порты. Видимо, постоянно кто-то сканирует сервисы на известные уязвимости. Пытался дампить входящий траффик - наряду с HTTP, также часто вижу какие-то странные SSL\TLS хэндшейки.

Настолько уже задолбался со всем этим, что подумываю даже написать на коленке небольшую TCP проксю, которая будет детектить подозрительную активность и блокировать уродов через fail2ban.

DawnCaster ★★
(20.02.19 04:16:05 MSK)

На какой порт nginx перевешиваете?

На 22.

~~h578b1bde~~ ★☆
(20.02.19 04:19:03 MSK)

Ссылка

Будь мужиком! Просканируй ботов на уязвимости.

crutch_master ★★★★★
(20.02.19 04:19:33 MSK)

Ссылка

Ответ на: комментарий от quwy 20.02.19 03:57:41 MSK

То, что боты срут HTTP-запросами в любой открытый порт, давно не новость, но что вы имеете против перевешивания ssh?

Ну после вдумчивого чтения дискуссий единственный разумный аргумент сторонников перевешивания это то, что логи информативней, типа если кто-то стучится, значит это точно не спроста (фиг знает, что они будут делать, после того, как всё-таки постучится на нестандартный порт, опять менять?). А тут в хттп логах прямо таки адъ и израиль творится. Странно, что ещё голых баб псевдографикой не рисуют.

~~Legioner~~ ★★★★★
(20.02.19 04:30:12 MSK) автор топика

Ответ на: комментарий от DawnCaster 20.02.19 04:16:05 MSK

Сделай хонейпот. Всё развлечение.

~~Legioner~~ ★★★★★
(20.02.19 04:31:09 MSK) автор топика

Ответ на: комментарий от Legioner 20.02.19 04:31:09 MSK

С ботами - это совсем не интересно (

DawnCaster ★★
(20.02.19 04:34:32 MSK)

Ответ на: комментарий от Legioner 20.02.19 04:30:12 MSK

фиг знает, что они будут делать, после того, как всё-таки постучится на нестандартный порт

Port knocking.

~~h578b1bde~~ ★☆
(20.02.19 04:43:33 MSK)

Ссылка

Ответ на: комментарий от Legioner 20.02.19 04:30:12 MSK

Странно, что ещё голых баб псевдографикой не рисуют.

блин, а это мысль!

Rastafarra ★★★★
(20.02.19 08:40:01 MSK)

Ответ на: комментарий от DawnCaster 20.02.19 04:16:05 MSK

Настолько уже задолбался со всем этим

httpd modsecurity? i just don't care. мне перевешивание всегда казалось хорошей идеей. другое дело гуглботы. им ссылки присылают гугл-хромы у легитимных пользователей...

~~crypt~~ ★★★★★
(20.02.19 08:55:41 MSK)
Последнее исправление: crypt 20.02.19 08:56:39 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от DawnCaster 20.02.19 04:34:32 MSK

За ботами стоят реальные люди. Вероятно в самих троянах куча уязвимостей, можно распутать и наказать

Deleted
(20.02.19 09:00:03 MSK)

Ссылка

А зачем вообще что-то делать? Пусть стучатся.

Deleted
(20.02.19 09:07:52 MSK)

Ссылка

Ответ на: комментарий от quwy 20.02.19 03:57:41 MSK

что вы имеете против перевешивания ssh?

А в чем смысл этого действия?

Deleted
(20.02.19 09:09:15 MSK)

Ответ на: комментарий от Deleted 20.02.19 09:09:15 MSK

А в чем смысл этого действия?

Как минимум логи чище.

~~h578b1bde~~ ★☆
(20.02.19 09:24:32 MSK)

Ответ на: комментарий от DawnCaster 20.02.19 04:09:35 MSK

а лучше и то и то и жаялы)

~~darkenshvein~~ ★★★★★
(20.02.19 09:31:31 MSK)

Ссылка

Ответ на: комментарий от Rastafarra 20.02.19 08:40:01 MSK

Все придумано до нас. Я уже даже «порнофильм» нарисованный ASCII графикой видел.

RiseOfDeath ★★★★
(20.02.19 10:06:05 MSK)

Ответ на: комментарий от Deleted 20.02.19 09:09:15 MSK

Порт может быть заблокирован провайдером.

Miguel ★★★★★
(20.02.19 10:12:22 MSK)

Ответ на: комментарий от Miguel 20.02.19 10:12:22 MSK

Порт может быть заблокирован провайдером.

Такой случай понятен, но в треде явно не о нем речь.

Deleted
(20.02.19 10:23:36 MSK)

Ссылка

Ответ на: комментарий от Rastafarra 20.02.19 08:40:01 MSK

Странно, что ещё голых баб псевдографикой не рисуют.

блин, а это мысль!

Нарисовать кому-нибудь ЦП псевдографикой в логе nginx и сообщить в органы.

Pacmu3ka
(20.02.19 10:26:36 MSK)

Ответ на: комментарий от RiseOfDeath 20.02.19 10:06:05 MSK

Я уже даже «порнофильм» нарисованный ASCII графикой видел.

«уже» они были лет 15 назад, школота ;)

Rastafarra ★★★★
(20.02.19 10:45:21 MSK)

Ссылка

Ответ на: комментарий от h578b1bde 20.02.19 09:24:32 MSK

Как минимум логи чище.

Отключи парольную аутентификацию и не логируй все, что не ключи. Логи становятся чище :)

~~kirk_johnson~~ ★☆
(20.02.19 11:32:05 MSK)
Последнее исправление: kirk_johnson 20.02.19 11:32:38 MSK (всего исправлений: 1)

Ответ на: комментарий от RiseOfDeath 20.02.19 10:06:05 MSK

mpv -vo caca pron.avi

futurama ★★★★★
(20.02.19 11:36:22 MSK)

Ссылка

Ответ на: комментарий от Pacmu3ka 20.02.19 10:26:36 MSK

Нарисовать кому-нибудь ЦП псевдографикой в логе nginx и сообщить в органы.

http://lorquotes.ru/view-quote.php?id=25

~~h578b1bde~~ ★☆
(20.02.19 11:36:34 MSK)

Ссылка

Ответ на: комментарий от kirk_johnson 20.02.19 11:32:05 MSK

Отключи парольную аутентификацию и не логируй все, что не ключи. Логи становятся чище :)

Или можно просто сменить порт.

~~h578b1bde~~ ★☆
(20.02.19 11:36:53 MSK)

Ответ на: комментарий от h578b1bde 20.02.19 11:36:53 MSK

Или можно просто сменить порт.

Это тупо. Нестандартные порты для геев.

~~kirk_johnson~~ ★☆
(20.02.19 12:01:43 MSK)
Последнее исправление: kirk_johnson 20.02.19 12:02:05 MSK (всего исправлений: 1)

Ответ на: комментарий от quwy 20.02.19 03:57:41 MSK

но что вы имеете против перевешивания ssh?

Просто ненужное действие.

Unicode4all ★★★★★
(20.02.19 12:02:00 MSK)

Ссылка

На какой порт nginx перевешиваете?

В вебе вместо этого используют нестандартные урлы. Какой-нибудь /odmin для админки и всё такое

MrClon ★★★★★
(20.02.19 12:05:33 MSK)

Ссылка

Если им вылить пару терабайт в качестве ответа, они как отреагируют?

Deleted
(20.02.19 13:41:09 MSK)

Ответ на: комментарий от Deleted 20.02.19 13:41:09 MSK

обратятся к твоему хостеру, что ты их заспамил

Deleted
(20.02.19 14:12:16 MSK)

Ответ на: комментарий от Deleted 20.02.19 14:12:16 MSK

Прямо как АУЕшники.

~~te111011010~~ ★
(20.02.19 15:18:22 MSK)

Ссылка

И в iptables была замечательная штука mirror :)

vasya_pupkin ★★★★★
(20.02.19 16:40:50 MSK)

Ссылка

На какой порт nginx перевешиваете? :)

Так страшно, что вообще его не запускаю. :)

turtle_bazon ★★★★★
(20.02.19 17:36:09 MSK)

Ссылка

Ответ на: комментарий от quwy 20.02.19 03:57:41 MSK

но что вы имеете против перевешивания ssh?

Если рядом не начинают кричать в ухо, что так безопаснее, то ничего не имею против. Каждый как умеет.

turtle_bazon ★★★★★
(20.02.19 17:37:13 MSK)

Ссылка

Ответ на: комментарий от DawnCaster 20.02.19 04:09:35 MSK

Освойте fail2ban - и будет вам счастье.

И будут вам тормоза под нагрузкой. Тормоза и счастье редко вместе идут.

turtle_bazon ★★★★★
(20.02.19 17:37:46 MSK)

Ответ на: комментарий от Legioner 20.02.19 04:30:12 MSK

если кто-то стучится, значит это точно не спроста

Открытые порты с типом сервиса nmap анализирует движением левой пятки. Конечно, не все боты такие умные, но и таких тоже очень много.

turtle_bazon ★★★★★
(20.02.19 17:39:29 MSK)

Ссылка

Ответ на: комментарий от kirk_johnson 20.02.19 12:01:43 MSK

Это тупо. Нестандартные порты для геев.

У тебя какие-то комплексы на этот счёт. Здесь ЛОР, кабинеты психолога и сексолога дальше по коридору.

~~h578b1bde~~ ★☆
(20.02.19 17:59:22 MSK)

Ответ на: комментарий от h578b1bde 20.02.19 17:59:22 MSK

У тебя какие-то комплексы на этот счёт.

На счет портов? 0o

~~kirk_johnson~~ ★☆
(20.02.19 18:10:51 MSK)

Ответ на: комментарий от turtle_bazon 20.02.19 17:37:46 MSK

Этож сколько ботов надо чтобы создать ощутимую нагрузку?

MrClon ★★★★★
(20.02.19 18:13:16 MSK)

Ответ на: комментарий от kirk_johnson 20.02.19 18:10:51 MSK

На счет портов? 0o

Ну да. Если девушка занимается анальным сексом — это же не значит что она гей.

~~h578b1bde~~ ★☆
(20.02.19 18:15:05 MSK)

Ответ на: комментарий от MrClon 20.02.19 18:13:16 MSK

Этож сколько ботов надо чтобы создать ощутимую нагрузку?

Да в том и прикол, что он уже от полезной нагрузки умирает.

turtle_bazon ★★★★★
(20.02.19 18:15:39 MSK)

Ответ на: комментарий от turtle_bazon 20.02.19 18:15:39 MSK

А, в смысле с http? Я про ssh подумал. Ну там да

MrClon ★★★★★
(20.02.19 18:22:15 MSK)

Ссылка

Ответ на: комментарий от h578b1bde 20.02.19 18:15:05 MSK

Ну да. Если девушка занимается анальным сексом — это же не значит что она гей.

Как связаны порты и анальный секс? Наркоман штоле?

~~kirk_johnson~~ ★☆
(20.02.19 18:33:35 MSK)

Ответ на: комментарий от kirk_johnson 20.02.19 18:33:35 MSK

Как связаны порты и анальный секс?

Точно так же как и нестандартные порты с геями.

Наркоман штоле?

АПВС?

~~h578b1bde~~ ★☆
(20.02.19 19:02:30 MSK)
Последнее исправление: h578b1bde 20.02.19 19:03:12 MSK (всего исправлений: 1)

Ответ на: комментарий от h578b1bde 20.02.19 19:02:30 MSK

Точно так же как и нестандартные порты с геями.

Когда ты в очередной раз забываешь, какой же порт придумал для SSH твой всратый коллега, очень хочется назвать его премерзким геем. А какая твоя отмазка?

~~kirk_johnson~~ ★☆
(20.02.19 19:06:33 MSK)

Ответ на: комментарий от kirk_johnson 20.02.19 19:06:33 MSK

Когда ты в очередной раз забываешь, какой же порт придумал для SSH твой всратый коллега, очень хочется назвать его премерзким геем. А какая твоя отмазка?

Тренируй память и не ной.

~~h578b1bde~~ ★☆
(20.02.19 20:02:04 MSK)

Ответ на: комментарий от h578b1bde 20.02.19 20:02:04 MSK

Тренируй память и не ной.

Это из серии «зачем проксировать сервис с веб-интерфейсом, если можно заучить порт»? За что вы все себя так ненавидите?

~~kirk_johnson~~ ★☆
(20.02.19 20:13:55 MSK)
Последнее исправление: kirk_johnson 20.02.19 20:14:19 MSK (всего исправлений: 1)

Ответ на: комментарий от kirk_johnson 20.02.19 20:13:55 MSK

Хорошая память — штука весьма полезная и помогает не только лишь в запоминании номеров портов.

~~h578b1bde~~ ★☆
(20.02.19 23:44:27 MSK)

Ответ на: комментарий от h578b1bde 20.02.19 23:44:27 MSK

Хорошая память — штука весьма полезная и помогает не только лишь в запоминании номеров портов.

Создавая себе неудобства на ровном месте, ты память тренируешь? Не смеши.

~~kirk_johnson~~ ★☆
(21.02.19 01:24:08 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	Олег Чурюмов протестует против угнетающего его Амазона

Talks

Решение квадратных уравнений

→

Похожие темы