-
IT café
TP-Link WR1043ND - N450 router
Új hozzászólás Aktív témák
-
doberman
senior tag
válasz vargalex #36878 üzenetére
szia.
úgy olvastam most jött el a "kívánságok" ideje:
- formázáskor bekapcsolódó, külső eszközre való logolás...(logrotate..?)
- webcam grafikus felület ( esetleg 2 kamera támogatással), az mjpg-streamer paraméterezéssel (?)
ja igen...- leválasztott extroot-os eszköz visszacsatolása....
előre is a munkádért.
[ Szerkesztve ]
8lnu
-
suste
veterán
valaki segítsen lécci:
ha több időre akarom kitiltani az ssh-n próbálkozót, akkor itt kell módosítanom a tűzfalban:iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --update --seconds 60 --hitcount $BRUTEFORCE_PROTECTION_START
mondjuk átírhatom 3600-ra (meg a következő sorban is gondolom)???
-
Intruder2k5
MODERÁTOR
válasz Kicsirics77 #36904 üzenetére
Szinte mindenkit, csak van aki észre sem veszi...
-
Kicsirics77
veterán
válasz Intruder2k5 #36905 üzenetére
persze gondolom,én sem lehetek kivétel ezalól
csak azt nem tudom mit élveznek ezen a kivvágottszeműgyökerek...egyébként a rendszernaplóban látható ez vagy hol és milyen módon vagy formában?
[ Szerkesztve ]
.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--
-
suste
veterán
válasz Kicsirics77 #36904 üzenetére
igen,
eddig nem használtam SSH-t, le is volt tiltva a rendszerindításban, és így nem volt gondom vele....valaki tudja a választ?
-
Kicsirics77
veterán
próbáld meg először 600-as értékkel gondolom működni kellene neki
aztán ha 600-sec-el megy akkor lehet adni neki...bár alex biztos pontosabban meg tudja mondani...
[ Szerkesztve ]
.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--
-
barnam_
nagyúr
Régen sok gondom volt WR842ND-n OpenWrt-vel: rejtélyes újraindulások. Nos, egy hete átköltöztettem a routert a szekrény tetejéről az előszobába, azóta gond nélkül megy...
-
pityu8
tag
Sziasztok.
Nálam ez megy már jó ideje. A vágott-szemű kitartóan próbálkozik. Kellene aggódnom? Vagy tehetek ellene valamit, vagy ne törődjek vele?Jan 11 11:00:18 OpenWrt authpriv.warn dropbear[11290]: Login attempt for nonexistent user from 116.229.239.242:42981
Jan 11 11:00:19 OpenWrt authpriv.info dropbear[11290]: Exit before auth: Disconnect received
Jan 11 11:00:41 OpenWrt authpriv.info dropbear[11291]: Child connection from 116.229.239.242:54202
Jan 11 11:00:45 OpenWrt authpriv.warn dropbear[11291]: Login attempt for nonexistent user from 116.229.239.242:54202
Jan 11 11:00:46 OpenWrt authpriv.info dropbear[11291]: Exit before auth: Disconnect received
Jan 11 11:01:09 OpenWrt authpriv.info dropbear[11292]: Child connection from 116.229.239.242:1444
Jan 11 11:01:12 OpenWrt authpriv.warn dropbear[11292]: Login attempt for nonexistent user from 116.229.239.242:1444
Jan 11 11:01:13 OpenWrt authpriv.info dropbear[11292]: Exit before auth: Disconnect received
Jan 11 11:01:36 OpenWrt authpriv.info dropbear[11355]: Child connection from 116.229.239.242:12668
Jan 11 11:01:39 OpenWrt authpriv.warn dropbear[11355]: Login attempt for nonexistent user from 116.229.239.242:12668
Jan 11 11:01:40 OpenWrt authpriv.info dropbear[11355]: Exit before auth: Disconnect received
Jan 11 11:02:04 OpenWrt authpriv.info dropbear[11356]: Child connection from 116.229.239.242:23904
Jan 11 11:02:07 OpenWrt authpriv.warn dropbear[11356]: Login attempt for nonexistent user from 116.229.239.242:23904
Jan 11 11:02:08 OpenWrt authpriv.info dropbear[11356]: Exit before auth: Disconnect received
Jan 11 11:02:32 OpenWrt authpriv.info dropbear[11357]: Child connection from 116.229.239.242:35136
Jan 11 11:02:36 OpenWrt authpriv.warn dropbear[11357]: Login attempt for nonexistent user from 116.229.239.242:35136
Jan 11 11:02:37 OpenWrt authpriv.info dropbear[11357]: Exit before auth: Disconnect received[ Szerkesztve ]
-
suste
veterán
válasz vargalex #36909 üzenetére
na most az igazi
leállítottam a dropbear-t, mondom még véletlenül se találjon be
elötte csak az ssh bejelentkezési próba látszott ip-vel
most ezzel van tele a log:
Jan 11 11:05:28 OpenWrt kern.warn kernel: [548698.900000] BruteForce-SSH IN=eth0.2 OUT= MAC=00:50:8d:60:9c:ca:00:01:5c:33:e7:01:08:00:45:00:00:3c SRC=116.229.239.242 DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=35 ID=48600 DF PROTO=TCP SPT=17607 DPT=2222 WINDOW=5840és állandóan ugyan az a MAC és az IP is
hogy lehet kitiltani örökre? (116.229.239.242 ) -
Kicsirics77
veterán
nálam most ezzel van tele
Jan 11 10:16:35 OpenWrt authpriv.info dropbear[23787]: Child connection from 221.139.3.177:35390
Jan 11 10:16:38 OpenWrt authpriv.warn dropbear[23787]: Login attempt for nonexistent user from 221.139.3.177:35390
Jan 11 10:16:39 OpenWrt authpriv.info dropbear[23787]: Exit before auth: Disconnect received.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--
-
suste
veterán
válasz Kicsirics77 #36915 üzenetére
akkor nem értem
alex hozzászólása után, arra gondolok hogy ha működne a támadás elleni kitiltás, akkor az látszódna a logban
de ez ezek szerint nálad sem látszik, meg nálam sem,meg másnál sem
ellenben leálított dropbear-nél meg látszik
megpróbálod te is leállítani majd, és úgy megnézni luci-ból, hogy akkor mi lesz a logban?[ Szerkesztve ]
-
Kicsirics77
veterán
persze csak távolról nem akarom buzerálni,majd ha hazaértem akkor megnézem
pontosan hol lehet a dropbear-t leállítani?
rendszer-->adminisztráció-->ssh hozzáférés?[ Szerkesztve ]
.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--
-
pityu8
tag
válasz Kicsirics77 #36917 üzenetére
Én itthon vagyok, szívesen leállítom, csak mit és hol?
-
suste
veterán
válasz Kicsirics77 #36917 üzenetére
luci/rendszer/rendszerindítás/ dropbear mellett, jobb szélen a"leállítás" gombbal
ha lucihoz hozzáférsz távolról, akkor simán kipróbálhatod, a luci-t továbbra is el fogod érni... -
Kicsirics77
veterán
elméletileg leállítottam most de az engedélyezve ugyanúgy maradt,gondolom ez így jó akkor mindjárt nézek logot is.
Jan 11 11:28:37 OpenWrt authpriv.info dropbear[2268]: Premature exit: Terminated by signal[ Szerkesztve ]
.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--
-
vargalex
Topikgazda
Sziasztok!
pityu8, suste, Kicsirics77: valamelyikőtök adjon már privátban egy WAN IP címet, hogy megnézzem, hogy valóban nem nyitott-e a 22-es port! (root jelszó nem kell, mert belépni nem akarok)
Szerk.: Most direkt kipróbáltam nálam, alap tűzfal beállításokkal. 4-ik kísérletre már nem engedett be, a logok is normálisak:
Jan 11 11:33:03 kernel: [ 556.120000] BruteForce-SSH IN=eth0.2 OUT= MAC=00:27:19:ec:d3:9c:18:03:73:7f:d4:bb:08:00:45:00:00:34 SRC=192.168.2.157 DST=192.168.2.194 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=31841 DF PROTO=TCP SPT=52404 DPT=2222 WINDOW=8192 RE
Jan 11 11:33:06 kernel: [ 559.120000] BruteForce-SSH IN=eth0.2 OUT= MAC=00:27:19:ec:d3:9c:18:03:73:7f:d4:bb:08:00:45:00:00:34 SRC=192.168.2.157 DST=192.168.2.194 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=31860 DF PROTO=TCP SPT=52404 DPT=2222 WINDOW=8192 RE
Jan 11 11:33:12 kernel: [ 565.120000] BruteForce-SSH IN=eth0.2 OUT= MAC=00:27:19:ec:d3:9c:18:03:73:7f:d4:bb:08:00:45:00:00:30 SRC=192.168.2.157 DST=192.168.2.194 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=31882 DF PROTO=TCP SPT=52404 DPT=2222 WINDOW=8192 RE[ Szerkesztve ]
Alex
-
suste
veterán
válasz Kicsirics77 #36920 üzenetére
az elején az engedélyezve azt jelenti, hogy legközelebbi router ujrainduláskor el fog indulni, az aktuális állapotot nem jelöli itt
na ez nálam alapból "letiltva" -
vargalex
Topikgazda
Persze így, hogy most mind a hárman leállítottátok a dropbeart, egyikőtöknél sem tudom ellenőrizni, amit szeretnék.
Alex
-
vargalex
Topikgazda
válasz Kicsirics77 #36926 üzenetére
Szia!
Az látszik, hogy ssh-n normálisan a 2222-es porton érhető el a router. Pont azért tettem át a default 22-ről, hogy lehetőség szerint ne is nagyon próbálkozzanak rajta. Ezek szerint mégis.
Egyébként természetesen van lehetőség a tűzfalon bizonyos IP cím, vagy akár tartomány tiltására is.
Alex
-
SteveBeard
senior tag
-
suste
veterán
válasz vargalex #36929 üzenetére
én most megpróbáltam kitiltani azt az ip-t, meglátjuk mi lesz
1.1.5-ben ugye itt kell:
luci/hálózat/tűzfal/forgalmi szabályok/ és az "új továbítási szabály" , és a művelet "eldobás" ?
IP-t csak akkor eszi meg, ha a "protokoll"-t "bármelyik" -re állítottam.szerk
valamit nemjól csinálok mert továbbra is látszik a logban a próbálkozás[ Szerkesztve ]
-
pityu8
tag
válasz pityu8 #36936 üzenetére
Na átettem a cél zónát Wan-ról eszköze. Most ez van a logban. Így már percenként kb. csak 5x próbálkozik.
"Kis lépés az embernek, de....."
Jan 11 12:38:49 OpenWrt user.err firewall: redirect : target must be either DNAT or SNAT, skipping
Jan 11 12:38:49 OpenWrt user.info firewall: adding lan (br-lan) to zone lan
Jan 11 12:38:49 OpenWrt user.info firewall: adding wan (eth1) to zone wan
Jan 11 12:39:26 OpenWrt kern.warn kernel: [ 1997.810000] BruteForce-SSH IN=eth1 OUT= MAC=64:70:02:4c:3d:d1:00:0e:b6:2a:31:59:08:00 SRC=116.229.239.242 DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=38 ID=45721 DF PROTO=TCP SPT=9153 DPT=2222 WINDOW=5840 RES=0x00 SYN URG -
vargalex
Topikgazda
Sziasztok!
Ha valamelyikőtök ad hozzáférést is, akkor szívesen megnézem, hogy mit nem állítottatok be jól a tiltásban. Annak működnie kell.
Alex
-
raidx
őstag
Tele vagyok ilyennel:
BruteForce-SSH IN=pppoe-wan OUT= MAC= SRC=207.223.243.125 DST=188.143.126.142 LEN=60 TOS=0x00 PREC=0x00 TTL=42 ID=4417 DF PROTO=TCP SPT=43023 DPT=2222 WINDOW=5840 RES=0x00 SYN URGP=0
[297393.860000] smbd: page allocation failure: order:0, mode:0x20
[297393.860000] Call Trace:[<80280438>] 0x80280438Ez meg a legfrissebb bejegyzés:
[297397.460000] ath: skbuff alloc of size 1926 failed
[297397.460000] eth0: out of memory
[375472.080000] device wlan0 left promiscuous mode
[375472.080000] br-lan: port 2(wlan0) entered disabled stateEbből elég sok van: [297397.460000] ath: skbuff alloc of size 1926 failed
Aki nem próbálja meg a lehetetlent, az a lehetségest sem fogja elérni soha. (Goethe) RaidX
-
suste
veterán
ok, ezek szerint tényleg mindenkit támadnak 1000-rel, csak legfeljebb nem veszi észre
DE: amíg nem indítottam el a dropbear-t, addig nálam nem volt ilyen támadás az tuti, logban semmi ilyen nem volt
viszont most már hiába állítom le a dropbear-t, a támadások ugyan úgy megvannak
igaz, elvileg semmire nem mehetnek, mert nincsen ahova belépjenek....ugye jól gondolom????ja, és rémlik, hogy be lehet állitani a dropbear-t, hogy csak belső hálón menjen, ugye?
[ Szerkesztve ]
-
Jamboo529
senior tag
Nem támadnak mindenkit.
Nekem mindössze ennyi van.:Jan 11 11:12:55 dropbear[23927]: Child connection from 174.143.255.179:34297
Jan 11 11:12:57 dropbear[23927]: Bad password attempt for 'root' from 174.143.255.179:34297
Jan 11 11:12:57 dropbear[23927]: Exit before auth (user 'root', 1 fails): Disconnect received7 napja megy a router.
Apropó Alex, a rendszer valamint a cron naplózást melyik szintre kell állítani, hogy a lehető "legérzékenyebb" legyen?
Nekem most mindkettő hibakeresésen van.[ Szerkesztve ]
-
Begi
senior tag
Én is
[601910.970000] BruteForce-SSH IN=eth0.2 OUT= MAC=74:ea:3a:a5:cb:64:00:90:1a:42:57:29:08:00:45:00:00:3c SRC=207.223.243.125 DST=Sze.Ret.Néd.Tudni LEN=60 TOS=0x00 PREC=0x00 TTL=47 ID=51464 DF PROTO=TCP SPT=50854 DPT=2222 WINDOW=5840 RES=0x00 SYN URGP=0Valaki rányomult az Alex féle OpenWRT-re.
Fura, hogy ua. a source ip.[ Szerkesztve ]
-
suste
veterán
igen, pont ezen gondolkodtam, hogy addig jó a 2222-es port elbújásra, amíg valaki rá nem jön
és mi itt elég sokat emlegettük.....szóval könnyen rá lehet találni.....lehet az lesz a jó ha mindenki átáll egy saját maga kitalált portra, és nem osztjuk meg sehol.....
[ Szerkesztve ]