Откуда такой интерес к астре из внешней сети?

townbov

New member
Сообщения
15
#1
Здравствуйте!
Установил Астру на сервер рядом с убунту. У обоих стоият одни и те же приложения, можно сказать и настройки одинаковые. Не понимаю почему за пару дней faillog выдает такое количество попыток входа Screenshot_20190709_221813.png ? подскажите пожалуйста -что это может значить..
В убунте все спокойно, интерес только к астре. Это только у меня?
 

Olej

New member
Сообщения
684
#2
Установил Астру на сервер рядом с убунту.
Что значит "рядом"? : на том же компьютере?, на соседнем в LAN?, что ещё?
Посмотрел у себя, для начала:
Код:
olej@astra:~$ faillog
Уч.запись      Неуд. попыток  Максимум  Последний раз

root            3        0   06/25/19 00:42:04 +0300  /dev/pts/3
olej@astra:~$ uptime
 23:15:57 up  6:03,  6 users,  load average: 1,31, 1,31, 1,12
Ничего подобного. 3 раза - это я сам за день 3 раза вводил неправильный пароль.
 
Последнее редактирование:

Olej

New member
Сообщения
684
#3

3d3

New member
Сообщения
100
#5
В убунте все спокойно, интерес только к астре. Это только у меня?
Если у вас два и более компа то у вас скорее всего нат, так что смотрите в своем маршрутизаторе зачем у вас проброс портов на айпишник машины с астрой.
 

townbov

New member
Сообщения
15
#7
Вражеская разведка пытается получить доступ к вашим данным...

Последний октет не виден на вашем скрине, но вроде к вам стучится бразилия
не только! с разных адресов.. 1562754201679.png 1562757270309.png
 
Последнее редактирование:

Olej

New member
Сообщения
684
#10
это сервер с пробросом портов ssh, ftp, vnc, rdp, nginx...
А Ubuntu - это рядом стоящий такой же сервер?
Какие порты проброшены?
По каким портам стучатся снаружи (если такое действительно возникает, а не какой-то артефакт)?
Или просто тупо сканирование открытых портов (nmap)? (тогда, может, это пионер с соседней улицы запускает nmap, начитавшись букварей? "кул-хакер" :ROFLMAO:)
 

townbov

New member
Сообщения
15
#11
Если у вас два и более компа то у вас скорее всего нат, так что смотрите в своем маршрутизаторе зачем у вас проброс портов на айпишник машины с астрой.
это сервер предприятия, работает с ментом. но вот мне захотелось перейти на астру. сейчас она стоит на соседнем разделе и загрузка на выбор. все работает хорошо, если не обращать внимание на пилюли в faillog)
хотелось бы без них
 

townbov

New member
Сообщения
15
#12
А Ubuntu - это рядом стоящий такой же сервер?
Какие порты проброшены?
По каким портам стучатся снаружи (если такое действительно возникает, а не какой-то артефакт)?
Или просто тупо сканирование открытых портов (nmap)? (тогда, может, это пионер с соседней улицы запускает nmap, начитавшись букварей? "кул-хакер" :ROFLMAO:)
мб, но слишком разбросаны эти улицы)) ip с бразилии, индонезии и еще хз откуда. все не смотрел... и почему в убунте этого нет?
сейчас она загружена. вечером перегружу в астру, гляну по каким портам стучат... по моему во все)
открыты эти 1562756929346.png +21 и 22
 

townbov

New member
Сообщения
15
#13
наверно на счет убунты я ошибся.. там такая же беда, просто faillog не обновлялся.
только что вспомнил, что недавно мне очень навязчиво предлогали шлюз безопасности, от которого вежливо отказался. Может решили помочь определится?)
Вот сижу и думаю -с какой стороны начать прикрывать зад)) с изучения netstat, ss, nmap и lsof? ...первый раз в таком квесте)
faillog -m 2 -l 120 поможет?
 
Последнее редактирование:

3d3

New member
Сообщения
100
#14
только что вспомнил, что недавно мне очень навязчиво предлогали шлюз безопасности, от которого вежливо отказался. Может решили помочь определится?)
Отрубите большую часть проброса портов, оставьте только то что вам нужно. Установите более надежный пароль на маршрутизаторе и по возможности обновите его ПО плюс тоже самое сдлайте для ОС.
Вот например небольшой словарик для примера какие пароли не нужно применять :cool:
https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt
 

3d3

New member
Сообщения
100
#16
да, это помогло конечно.. но порты нужны, особенно ssh, по которому больше всего попыток входа
Попробуйте изменить сам внешний порт. Об RDP вообще забудьте - у меня на работе пару раз влетал шифровальщик
 

Olej

New member
Сообщения
684
#18
Попробуйте изменить сам внешний порт.
Да, подменить номер порта, если у вас делается проброс портов на роутере (за счёт правил файервола) - это хорошая идея.
 
Последнее редактирование:

3d3

New member
Сообщения
100
#19
Удивительные вещи ... потому как ни у кого больше (у меня, и никто не отозвался) таких эффектов не наблюдается.
Да все забили. У меня в микротике куча попыток на внешнюю авторизацию и куча попыток сканирования по портам. Правда это все сразу в дроп уходит :p
 

Olej

New member
Сообщения
684
#20
Кроме того, вы можете попробовать проброс портов другим способом, за счёт SSH туннеля (как я понимаю, это другой способ), здесь, например: ПРОБРОС ПОРТОВ ИСПОЛЬЗУЯ SSH ... да и вообще Интернет полнится статьями именно на эту тему (особенно относительно Linux использования).