Откуда такой интерес к астре из внешней сети?

[townbov]

Здравствуйте!
Установил Астру на сервер рядом с убунту. У обоих стоият одни и те же приложения, можно сказать и настройки одинаковые. Не понимаю почему за пару дней faillog выдает такое количество попыток входа ? подскажите пожалуйста -что это может значить..
В убунте все спокойно, интерес только к астре. Это только у меня?

 

[Olej]

Установил Астру на сервер рядом с убунту.

Что значит "рядом"? : на том же компьютере?, на соседнем в LAN?, что ещё?
Посмотрел у себя, для начала:

olej@astra:~$ faillog
Уч.запись      Неуд. попыток  Максимум  Последний раз

root            3        0   06/25/19 00:42:04 +0300  /dev/pts/3
olej@astra:~$ uptime
 23:15:57 up  6:03,  6 users,  load average: 1,31, 1,31, 1,12

Ничего подобного. 3 раза - это я сам за день 3 раза вводил неправильный пароль.

 

[Olej]

выдает такое количество попыток входа

интерес к астре из внешней сети?

И сразу для ясности, однозначности: у вас хост с "белым" IP доступным из внешней сети?

 

[Montfer]

Вражеская разведка пытается получить доступ к вашим данным...

Последний октет не виден на вашем скрине, но вроде к вам стучится бразилия

 

[3d3]

В убунте все спокойно, интерес только к астре. Это только у меня?

Если у вас два и более компа то у вас скорее всего нат, так что смотрите в своем маршрутизаторе зачем у вас проброс портов на айпишник машины с астрой.

 

[Olej]

но вроде к вам стучится бразилия

Рассылают пригласительные билеты на карнавал?
Эксклюзивно для охотников до Astra Linux...

 

[townbov]

Вражеская разведка пытается получить доступ к вашим данным...

Последний октет не виден на вашем скрине, но вроде к вам стучится бразилия

не только! с разных адресов..

 

[townbov]

И сразу для ясности, однозначности: у вас хост с "белым" IP доступным из внешней сети?

да. это сервер с пробросом портов ssh, ftp, vnc, rdp, nginx...

 

[Olej]

не только!

Чтобы хоть что-то внятно сказать по ситуации - ответьте на пару вопросов, которые я записал ещё вчера.

 

[Olej]

это сервер с пробросом портов ssh, ftp, vnc, rdp, nginx...

А Ubuntu - это рядом стоящий такой же сервер?
Какие порты проброшены?
По каким портам стучатся снаружи (если такое действительно возникает, а не какой-то артефакт)?
Или просто тупо сканирование открытых портов (nmap)? (тогда, может, это пионер с соседней улицы запускает nmap, начитавшись букварей? "кул-хакер" )

 

[townbov]

Если у вас два и более компа то у вас скорее всего нат, так что смотрите в своем маршрутизаторе зачем у вас проброс портов на айпишник машины с астрой.

это сервер предприятия, работает с ментом. но вот мне захотелось перейти на астру. сейчас она стоит на соседнем разделе и загрузка на выбор. все работает хорошо, если не обращать внимание на пилюли в faillog)
хотелось бы без них

 

[townbov]

А Ubuntu - это рядом стоящий такой же сервер?
Какие порты проброшены?
По каким портам стучатся снаружи (если такое действительно возникает, а не какой-то артефакт)?
Или просто тупо сканирование открытых портов (nmap)? (тогда, может, это пионер с соседней улицы запускает nmap, начитавшись букварей? "кул-хакер" )

мб, но слишком разбросаны эти улицы)) ip с бразилии, индонезии и еще хз откуда. все не смотрел... и почему в убунте этого нет?
сейчас она загружена. вечером перегружу в астру, гляну по каким портам стучат... по моему во все)
открыты эти +21 и 22

 

[townbov]

наверно на счет убунты я ошибся.. там такая же беда, просто faillog не обновлялся.
только что вспомнил, что недавно мне очень навязчиво предлогали шлюз безопасности, от которого вежливо отказался. Может решили помочь определится?)
Вот сижу и думаю -с какой стороны начать прикрывать зад)) с изучения netstat, ss, nmap и lsof? ...первый раз в таком квесте)
faillog -m 2 -l 120 поможет?

 

[3d3]

только что вспомнил, что недавно мне очень навязчиво предлогали шлюз безопасности, от которого вежливо отказался. Может решили помочь определится?)

Отрубите большую часть проброса портов, оставьте только то что вам нужно. Установите более надежный пароль на маршрутизаторе и по возможности обновите его ПО плюс тоже самое сдлайте для ОС.
Вот например небольшой словарик для примера какие пароли не нужно применять
https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt

 

[townbov]

Отрубите большую часть проброса портов

да, это помогло конечно.. но порты нужны, особенно ssh, по которому больше всего попыток входа

 

[3d3]

да, это помогло конечно.. но порты нужны, особенно ssh, по которому больше всего попыток входа

Попробуйте изменить сам внешний порт. Об RDP вообще забудьте - у меня на работе пару раз влетал шифровальщик

 

[Olej]

да, это помогло конечно..

Удивительные вещи ... потому как ни у кого больше (у меня, и никто не отозвался) таких эффектов не наблюдается.

 

[Olej]

Попробуйте изменить сам внешний порт.

Да, подменить номер порта, если у вас делается проброс портов на роутере (за счёт правил файервола) - это хорошая идея.

 

[3d3]

Удивительные вещи ... потому как ни у кого больше (у меня, и никто не отозвался) таких эффектов не наблюдается.

Да все забили. У меня в микротике куча попыток на внешнюю авторизацию и куча попыток сканирования по портам. Правда это все сразу в дроп уходит

 

[Olej]

Кроме того, вы можете попробовать проброс портов другим способом, за счёт SSH туннеля (как я понимаю, это другой способ), здесь, например: ПРОБРОС ПОРТОВ ИСПОЛЬЗУЯ SSH ... да и вообще Интернет полнится статьями именно на эту тему (особенно относительно Linux использования).