Continui "login failure for user xyz"..... dalla Cina!?

[El Berto]

Sto giocherellando un po' con dei router con interfaccia 3G.
Mi sono accorto che tutti (ne ho attualmente in prova 4) presentano nel log molti tentativo di accesso tramite telnet:

Codice: Seleziona tutto

system error         login failure for user root from xxx.xxx.xxx.xxx via telnet
system error         login failure for user admin from xxx.xxx.xxx.xxx via telnet

Addirittura un router ho dovuto riavviarlo perchè non riuscivo ad entrare neanche da LAN; il log era pieno.

Ho pensato che per qualche motivo, utilizzando IP pubblici dinamici, ci fosse qualcuno che per sbaglio tenta di accedere alla mia RB.
Ma già il fatto che mi capiti in tutte le RB mi lasciava perplesso.
Per sicurezza ho provveduto a cambiare la porta del telnet (e degli altri servizi).
Risultato, mi ritrovo ancora zeppo di tentativi di accesso.
Incuriosito ho provveduto a prendere nota degli indirizzi IP........ che risultano TUTTI provenire dalla Cina.

Beh? Le spie cinesi non hanno niente di meglio da fare che mettersi ad hackerare il mio router!?
Bah!

[ppraz]

Chiudi immediatamente il login via telnet e ftp
al limite lascia ssh, ma io chiuderei anche quello

[El Berto]

Chiudi immediatamente il login via telnet e ftp

Eh, facile a dirsi, sono quelli che uso per accedere al router.
Il telnet mi serve che ci devo poter entrare da qualsisasi macchina (pensavo di cambiare la porta del telnet, ma non è servito); l'ftp mi serve per entrare a scaricare i files di debug che creo (qui almeno potrei filtrare gli indirizzi IP).

[Linkwave]

Chiudi immediatamente il login via telnet e ftp

Eh, facile a dirsi, sono quelli che uso per accedere al router.
Il telnet mi serve che ci devo poter entrare da qualsisasi macchina (pensavo di cambiare la porta del telnet, ma non è servito); l'ftp mi serve per entrare a scaricare i files di debug che creo (qui almeno potrei filtrare gli indirizzi IP).

Esistono le vpn, il port knocking, i filtri per ip, il porta a porta, .......

Lorenzo

[El Berto]

Esistono le vpn, il port knocking, i filtri per ip, il porta a porta, .......

Lorenzo

Si, vabbè, ma queste sono cose "sopraffine"....
Io speravo di cavarmela con poco, tipo limitarmi a cambiare la porta del telnet, o giù di lì.
Solo a me è capitato questo, o gli altri hanno i router super-protetti?

[Linkwave]

Capitano a tutti .... sono dei trojan che attaccano le porte telnet ed ssh da "dizionario", niente di personale

[ppraz]

El Berto, le tecniche sopraffine servono ad evitare che un malintenzionato ci provi, mentre la robustezza del sistema fa sì che pur provandoci non ci riesca.
Se hai una password hard allora tieniti i tentativi a vuoto, non entreranno mai, mentre se pensi, come penso io, che è meglio anche evitare i tentativi (anche perchè consumano risorse anche i tentativi a vuoto), usa le tecniche sopraffine.
Ti consiglio principalmente di chiudere alle reti esterne tutti i servizi tranne, al limite, winbox.
Gli altri servizi li lasci abilitati per la tua lan di management.
Poi incrementa la sicurezza con una vpn e consentendo l'accesso agli ip vpn

[figheras]

Beh tutti i giorni i router sono bombardati da migliaia di tentativi di accesso....
Se proprio può farti felice sono riuscito a registrare più di 300 attacchi (su un solo router) al giorno sia in forward verso alcuni server interni e sia in input verso i router incriminati.....
E ti garantisco che mettere a punto queste regole è la prima cosa da fare per stare tranquilli.....
Vedi allegato....questa è una breve lista di uno dei tanti router sotto attacco:

image.jpg