[ A-l-m-i-r @ 12.11.2013. 07:42 ] @
| Slučajno uđem na mikrotik i u logu vidim tcp conection estalb from 183.60.48.25 pptp wainting for cal itd... Znal neko o čemu se radi ovaj ip ide na kinu? inače namikrotiknu nemam postavki za pptp |
|
[ bachi @ 12.11.2013. 07:56 ] @
Ako je krekovan Tik, nije ni čudo što viđaš IP iz Kine...
[ Sleepless_mind @ 12.11.2013. 08:20 ] @
Taj IP se svuda javlja, cim postoji neka javna IP adresa. Krekovan ili ne.
[ bachi @ 12.11.2013. 08:20 ] @
Čajniz bekdur? :D
[ A-l-m-i-r @ 12.11.2013. 08:28 ] @
šta raditi ? :)
[ Sleepless_mind @ 12.11.2013. 08:40 ] @
Code: /ip firewall filter add chain=input src-address=183.60.48.25 action=drop [ Mile-Lile @ 12.11.2013. 12:04 ] @
Evo vidi i kod mene:
Code: Nov 10 23:40:54 178.223.25.116 pptpd: CTRL: Client 183.60.48.25 control connection started Nov 10 23:40:54 178.223.25.116 pptpd: CTRL: EOF or bad error reading ctrl packet length. Nov 10 23:40:54 178.223.25.116 pptpd: CTRL: couldn't read packet header (exit) Nov 10 23:40:54 178.223.25.116 pptpd: CTRL: CTRL read failed Nov 10 23:40:54 178.223.25.116 pptpd: CTRL: Reaping child PPP[0] Nov 10 23:40:54 178.223.25.116 pptpd: CTRL: Client 183.60.48.25 control connection finished Nov 10 23:40:54 178.223.25.116 pptpd: CTRL: Asked to free call when no call open, not handled well Nov 10 23:40:54 178.223.25.116 pptpd: CTRL: Couldn't write packet to client. Nov 10 23:40:54 178.223.25.116 pptpd: CTRL: Couldn't write packet to client. Vidim da i šiptari vole da skeniraju dpt 1723... (46.99.0.0/18)... Ja sam čitavu tu grupu IP adresa iz Hazije dropovao... Code: 46.99.0.0/18 58.0.0.0/7 60.0.0.0/7 110.0.0.0/7 112.0.0.0/6 116.0.0.0/6 120.0.0.0/6 124.0.0.0/7 180.0.0.0/8 202.0.0.0/8 203.0.0.0/8 210.0.0.0/7 218.0.0.0/7 220.0.0.0/8 183.0.0.0/10 [ zivanicd @ 12.11.2013. 20:59 ] @
Meni je cajna odavno na drop... 183/8
[ djricky @ 13.11.2013. 06:56 ] @
Citat: bachi: Čajniz bekdur?  sto si zapeo, pa ne koriste svi krekovane MikroTikove, a i taj kineski rootkit bi trebalo da se lako ukloni sa Huntertik-om, kako cujem  i kod mene se kuci na vektor kablovskoj public IP pojavila pre par dana u logu ista IP adresa... hvala za ip range-ove za blokiranje [ acatheking @ 13.11.2013. 12:11 ] @
Ne znam cemu pribegavanje metodama blokiranja celih opsega kad to moze da se resi na kulturan nacin:
Ovo je primer za SSH, konkretno: ko se u intervalu od 1 munuta loguje vise od 3 puta, blokiraj mu IP na 10 dana. http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention Dakle, vrlo lako moze da se prosiri za bilo koji port. [ Mile-Lile @ 13.11.2013. 13:36 ] @
Citat: To view the contents of your Blacklist, go to "/ip firewall address-list" and type "print" to see the contents. Aco, znaš li gde se skladišti ova ssh_blacklist(nvram, jffs)? Konkretno, zanima me kod SOHO Tikova kao što su RB951-2n? Pitam, jer mi se čini da bi se ta lista napunila za 10 dana poprilično... što bi naravno usporilo ruter. Dešavalo mi se da mi se zbog uključenog logginga restartovao ruter... dok nisam otkrio https://papertrailapp.com ... e, sad... u logging ide sve živo od kernela do firewall-a, možda ovih koji skeniraju portove i bruteforce-a nema puno... izvinjavam se ako je offtopic Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|