• 0
Sign in to follow this  
nikhop

Откуда могут быть попытки входа?

Question

С IP-адреса [YY.YY.YYY.YY] было произведено несколько неудачных попыток (10) входа в DSM, где запущен XXX в течение 5 мин., поэтому он был заблокирован в Wed Nov  7 12:20:15 2018.

 

DSM находится в локальной сети, внешка отключена. 

Откуда могут быть попытки входа - не могу понять. Есть мысли?

Share this post


Link to post
Share on other sites

25 answers to this question

Recommended Posts

  • 0
5 минут назад, nikhop сказал:

DSM находится в локальной сети, внешка отключена. 

Откуда могут быть попытки входа - не могу понять.

Если додолбились - значит жопа торчит наружу. Панель управления - Внешний доступ - Конфигурация маршрутизатора, смотрите, что наружу выведено. И в роутере - переадресацию портов, в т.ч. по upnp.

Edited by Olegin

Share this post


Link to post
Share on other sites
  • 0

Мдаа, в роутере прокинул давно и забыл... FTP пробовал или типа того )

Share this post


Link to post
Share on other sites
  • 0

или какой-нить сканер сети запускался в локалке.

многие подобные проги при скане портов тестируют автоматом "стандартные" логины/пароли.

Share this post


Link to post
Share on other sites
  • 0

Я никак не могу побороть другой прикол, тоже с попытками входа связан.

Из вне кто-то иногда ломиться на нас под учёткой админа. 

Но сам нас, пишет что все попытки идут с адреса роутера (192.168.0.1), и не показывает реальный ип адрес.

Роутер имеет белый статический ип, порты на нас проброшены (те что нужны).

И как это побороть - хз.

Share this post


Link to post
Share on other sites
  • 0

Тоже подтверждаю!

Цитата

 


Уважаемый пользователь!

С IP-адреса [95.70.87.131] было произведено несколько неудачных попыток (10) входа в DSM, где запущен DiskStation в течение 5 мин., поэтому он был заблокирован в Fri Sep 28 20:20:45 2018.

С уважением,
Synology DiskStation

 

Цитата

Уважаемый пользователь!

С IP-адреса [95.70.58.91] было произведено несколько неудачных попыток (10) входа в DSM, где запущен DiskStation в течение 5 мин., поэтому он был заблокирован в Fri Sep 28 16:20:57 2018.

С уважением,
Synology DiskStation

 

 

Edited by A.S._id

Share this post


Link to post
Share on other sites
  • 0
В 07.11.2018 в 17:56, Olegin сказал:

Если додолбились - значит жопа торчит наружу. Панель управления - Внешний доступ - Конфигурация маршрутизатора, смотрите, что наружу выведено. И в роутере - переадресацию портов, в т.ч. по upnp.

Конечно торчит, а как без неё извне заходить то?

Ну, включил файрвол, с разрешением ip не знаю как быть, на мобилке он динамический, может можно как то по мак адресу разрешать, но не разбирался пока. Сократил попытки входа, пароль усилил...

Edited by A.S._id

Share this post


Link to post
Share on other sites
  • 0
3 минуты назад, XerSonik сказал:

Смею предположить что долбят именно тех кто юзает DS 918+

Меня пока не долбили 😂 правда все порты наружу изменены на нустандартные. Ну и не называйте учетки общеупотребительными именами типа админов, супервизоров и пр.

Edited by Olegin

Share this post


Link to post
Share on other sites
  • 0
12 часа назад, XerSonik сказал:

У всех долбежка с одного IP

b1c5b91b7c.png

У Вас сервер напрямую в мир смотрит ии через отдельный роутер/нат?

Share this post


Link to post
Share on other sites
  • 0

Тю блин... Почему же у меня не показывает реальный ип адресс ломящегося компа? Из за того что роутер микротик?...

 

Share this post


Link to post
Share on other sites
  • 0
В 09.11.2018 в 10:00, XerSonik сказал:

Смею предположить что долбят именно тех кто юзает DS 918+

у меня 3615

Share this post


Link to post
Share on other sites
  • 0

Значит у нас у всех есть пакет-троян ака пульсар наших айпи на рыло вредоноса.

1) Power Button стоит из сторонних. Отрублю для теста и подожду.

Share this post


Link to post
Share on other sites
  • 0
3 часа назад, XerSonik сказал:

Значит у нас у всех есть пакет-троян ака пульсар наших айпи на рыло вредоноса.

Ко мне попытки входа были с этих ip:

95.70.58.91
95.70.87.131
5.188.10.180
103.110.96.41
92.37.143.13
5.188.10.144

Стоит парочка сторонних пакетов из Synocommunity + Filebot, так что вряд ли дело в  Power Button.

Share this post


Link to post
Share on other sites
  • 0

сетки постоянно кем-то сканируются, и нет в этом ничего небывалого и удивительного.

если наружу вывешивается стандартный порт, да ещё и всему миру, без ограничения, то было бы странно, если б кто-то не начал туда долбиться.

 

не хотите, чтоб лезли - разрешайте соединение только нужным подсетям + как справедливо сказал Olegin:

On 11/9/2018 at 10:03 AM, Olegin said:

все порты наружу изменены на нестандартные

 

а теории про "стукачка в кнопке" с переписью ботсетей - это какая-то дремучая  паранойя, ей богу.

24 minutes ago, Soshi said:

вряд ли дело в  Power Button

вот, вот. :91_thumbsup:

 

из личных наблюдений - на какие сервисы негодники ломятся (строго из тех, что у меня наружу для работы открыты):

  1. чаще и активней всего лезут в почту (MailServer) - блочатся автоматом;
  2. FTP - блочатся автоматом;
  3. SIP-телефония (Asterisk) - вот тут лучше ограничить доступ только для разрешённых IP/сетей, ибо брутят бодро, жёстко нагружая систему;
  4. FileStation (порт 7000) - блочатся автоматом;
  5. OpenVPN - ограничивать аналогично астериску.

кстати говоря, сделать подобное без каких-либо сложностей может, реально, каждый.

я вот последние пол года неспешно (и довольно успешно) сканирую инет по портам 554/8554. при обнаружении поднятого порта автоматом проверяется что там стоит, и проводится простейший брут по скромному списку самых популярных логинов/паролей. написано обычным батником в винде.

а какие там IP у меня при этом - я в душе *не знаю* ;) ибо завернул всё это безобразие через TOR.

Share this post


Link to post
Share on other sites
  • 0

Тоже в начале года ломились и проломили роутер, mi-mini с старой прошивкой padavan, потом стучались в сервак но безбожно попадали бан, после чего я долго и нудно писал устанавливал правила в серваке на белый лист и токак через впн. Сейчас перешил роутер на свежую прошивку все заблокировал оставил тока нужное. Кстати с тех пор попыток ломиться нет.

Share this post


Link to post
Share on other sites
  • 0

Реальник. На ружу у NAS открыто не мало портов, стандартные.

За какое-то время автоматом в автоблок добавилось куча адресов (см картинку).

Не понимаю суть ваших переживаний. Вечно кто-то ломится в сети, если у вас реальники. Это нормальное явление. Страхи? Сиди в маскараде и мучайся с доступом.

2018-11-12_00-41-49.png

Share this post


Link to post
Share on other sites
  • 0

У меня маскарад на микротике, и проброшены порты в фаерволе. Проблем с доступом нет.

Share this post


Link to post
Share on other sites
  • 0

это феерия какая-то! щемятся какие-то падонки постоянно!

 

Снимок экрана 2018-12-02 в 12.29.36.jpg

 

я так понимаю, что если установить в Защите учётной записи настройку блокировки при неудачном входе в ко-ве 1 в течении 1 минуты, хрень будет блокировать сразу при неправильном вводе пароля? или настроить как 1 в течении, на пример, 60 минут? 

Edited by UrriTim

Share this post


Link to post
Share on other sites
  • 0

Хабаровск в засветке постоянно и у вас тоже!!!

Details for 95.70.31.216

IP:95.70.31.216

Decimal:1598431192

Hostname:95.70.31.216

ASN:12389

ISP:Rostelecom

Organization:Rostelecom

Services:None detected

Type:Broadband

Assignment:Static IP

Blacklist:

Continent:Europe

Country:Russia 

State/Region:Khabarovsk

City:Khabarovsk

Latitude:48.4808  (48° 28′ 50.88″ N)

Longitude:135.0928  (135° 5′ 34.08″ E)

Postal Code:680000

 

Edited by XerSonik

Share this post


Link to post
Share on other sites
  • 0
26 минут назад, webrusik сказал:

А как включить отображения страны ломащихся?

Что значит включить?

Скрытый текст

1578804812_.thumb.png.3b2dac111a6b5900a5725eafdc73632c.png

 

Share this post


Link to post
Share on other sites
  • 0

Не правильно выразился. Имел ввиду отображение местоположения этих "редисок". Как на скринах у людей выше:

 

1.png

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this