Jump to content
  • 0

Опит за хакване


lubitel

Въпрос

Здравейте, от няколко дни някой се опитва да ми хакне микротика. Но вместо IP ми дава в лога mar/05 06:57:56 system,error,critical login failure for user \A9{\08Qe\068\A6y\F1\D0\F5\C6@q:\81\t\AF\F6MYI\85\BA\84\10\BB\DD?\86\03 via winbox. Как мога да разбера от кое IP идва това и как мога да го забраня? Благодаря предварително.

Адрес на коментара
Сподели в други сайтове

10 отговори на този въпрос

Recommended Posts

  • 0

смени порта на уинбокс от /ип сървисис и си свиркай :)

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Адрес на коментара
Сподели в други сайтове

  • 0
Преди 10 часа, stanstanyov написа:

Направи му капан във файъруола и си го логни.

Как се прави и за какво му е?

За това няма оправия. Ако те гони параноята, просто смени името на акаунта, сложи по-дълга парола и вкарай поне една буква на кирилица. Няма да е неразбиваема, но ще стане доста добре защитена за такива хаквания. Разбира се, ако фбр искат да ти хакнат рутера и китайски йероглифи да сложиш, пак ще успеят, щото имат ресурси за това, за разлика от тия хакерчета, които го правят за спорта :)

Адрес на коментара
Сподели в други сайтове

  • 0

Ами, дроп правило на порта на winbox за външния интерфейс и лог.

Странното е, че по принцип се вижда IP-то в лога и за login failure. Не се вижда когато се влиза по МАС, но пак се разбира. Прилича на някакъв бот това...

Адрес на коментара
Сподели в други сайтове

  • 0

Aко ти е дълга и сложна паролата да не ти пука.

И аз имам по няколко страници логове от ботове да опитват.

Според мен някой от вътре се опитва.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Това е PHP енкодирано име явно някой е чел за API ;)

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
На 7.03.2016 г. at 18:44, lubitel написа:

Здравейте, от няколко дни някой се опитва да ми хакне микротика. Но вместо IP ми дава в лога mar/05 06:57:56 system,error,critical login failure for user \A9{\08Qe\068\A6y\F1\D0\F5\C6@q:\81\t\AF\F6MYI\85\BA\84\10\BB\DD?\86\03 via winbox. Как мога да разбера от кое IP идва това и как мога да го забраня? Благодаря предварително.

Изгради firewall със строги правила, като допускаш само това което ползваш.
Пример:
 

/ip firewall filter
;;;всичко което идва от интернет отива във верига input_ext
add chain=input action=jump jump-target=input_ext in-interface=public
;;;всичко което идва от частната мрежа отива във верига input_int
add chain=input action=jump jump-target=input_int in-interface=private
;;;всичко което не е определено се дропва
add chain=input action=drop
;;; всичко от частната мрежа е разрешено
add chain=input_int action=accept
;;; всичко от интернет което е broadcast,multicast се забранява
add chain=input_ext action=drop dst-address-type=broadcast,multicast
;;; ако ползваме PPPT VPN
add chain=input_ext action=accept protocol=tcp dst-port=1723
;;; всичко останало се забранява
add chain=input_ext action=drop
;;; всичко което ще препращаме от интернет се насочва във верига forward_ext
add chain=forward action=jump jump-target=forward_ext in-interface=public
;;; всичко което ще препращаме от частната мрежа се насочва във верига forward_int
add chain=forward action=jump jump-target=forward_int in-interface=private
;;; всичко останало което се препраща се забранява
add chain=forward action=drop
;;; всички съществуващи отворени връзки от частната мрежа са разрешени
add chain=forward_ext action=accept connection-state=established dst-address=PRIVATE
add chain=forward_ext action=accept connection-state=related dst-address=PRIVATE
;;; всички останало препратено от интернет се забранява
add chain=forward_ext action=drop



Забрани MikroTik Neighbor Discovery protocol за публичния интерфейс
 

/ip neighbor discovery set public discover=no



П.С
public е наименованието на интерфейса който гледа към интернет
private e наименованието на интерфейса който гледа към частната мрежа
PRIVATE е мрежовия сигмен на частната ти мрежа

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
преди 34 минути, Кирил Вълчев написа:

add chain=forward_ext action=accept connection-state=established dst-address=PRIVATE

add chain=forward_ext action=accept connection-state=related dst-address=PRIVATE

Това трябва да е едно правило

add chain=forward_ext action=accept connection-state=established,related dst-address=PRIVATE

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.