' target='_blank'>Link
25 Listopada 2024 05:40:47
Nawigacja
· Strona Główna
· Forum
· Tomato by Shibby
· FreshTomato

Wątki na forum
Najnowsze dyskusje
· DIR868l OFW asus vs ...
· Nowe routery: UX, UC...
· [S] Asus RT-AC56U
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
Najpopularniejsze obecnie wątki
· DIR868l OFW asus ... [11]
· Nowe routery: UX,... [0]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
3.145.68.167
Zobacz wątek
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj wątek
próby nieautoryzwanego wbicia się na router - z Chin
bandi20
Top  #1 Drukuj post
Dodano 05-01-2015 21:04
witam.. od czasu zmiany dostawcy internetu w logach z tomato obserwuję, że ktoś skanuje porty i próbuje dostać się na router.. po adresach widać że są z Chin.. jak skutecznie utrudnić im próby dostania się do routera ?

w tomato mam ustawione 3 próby logowania ..a le jak widzę to nie działa.. bo jak widzę ktoś próbuje 10 razy...
to przykładowy wycinek z loga

Jan 5 19:30:33 unknown authpriv.info dropbear[4204]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from ::ffff:61.174.50.229:19028
Jan 5 19:30:33 unknown authpriv.info dropbear[4205]: Child connection from ::ffff:61.174.50.229:23935
Jan 5 19:30:33 unknown authpriv.info dropbear[4206]: Child connection from ::ffff:61.174.50.229:24054
Jan 5 19:30:39 unknown authpriv.warn dropbear[4205]: Bad password attempt for 'root' from ::ffff:61.174.50.229:23935
Jan 5 19:30:40 unknown authpriv.warn dropbear[4206]: Bad password attempt for 'root' from ::ffff:61.174.50.229:24054
Jan 5 19:30:40 unknown authpriv.warn dropbear[4205]: Bad password attempt for 'root' from ::ffff:61.174.50.229:23935
Jan 5 19:30:40 unknown authpriv.warn dropbear[4206]: Bad password attempt for 'root' from ::ffff:61.174.50.229:24054
Jan 5 19:30:41 unknown authpriv.warn dropbear[4206]: Bad password attempt for 'root' from ::ffff:61.174.50.229:24054
Jan 5 19:30:41 unknown authpriv.warn dropbear[4205]: Bad password attempt for 'root' from ::ffff:61.174.50.229:23935
Jan 5 19:30:42 unknown authpriv.warn dropbear[4206]: Bad password attempt for 'root' from ::ffff:61.174.50.229:24054
Jan 5 19:30:42 unknown authpriv.warn dropbear[4205]: Bad password attempt for 'root' from ::ffff:61.174.50.229:23935
Jan 5 19:30:43 unknown authpriv.warn dropbear[4205]: Bad password attempt for 'root' from ::ffff:61.174.50.229:23935
Jan 5 19:30:43 unknown authpriv.warn dropbear[4206]: Bad password attempt for 'root' from ::ffff:61.174.50.229:24054
Jan 5 19:30:43 unknown authpriv.warn dropbear[4205]: Bad password attempt for 'root' from ::ffff:61.174.50.229:23935
Jan 5 19:30:43 unknown authpriv.warn dropbear[4206]: Bad password attempt for 'root' from ::ffff:61.174.50.229:24054
Jan 5 19:30:44 unknown authpriv.warn dropbear[4205]: Bad password attempt for 'root' from ::ffff:61.174.50.229:23935
Jan 5 19:30:44 unknown authpriv.warn dropbear[4206]: Bad password attempt for 'root' from ::ffff:61.174.50.229:24054
Jan 5 19:30:45 unknown authpriv.warn dropbear[4205]: Bad password attempt for 'root' from ::ffff:61.174.50.229:23935
Jan 5 19:30:45 unknown authpriv.warn dropbear[4206]: Bad password attempt for 'root' from ::ffff:61.174.50.229:24054
Jan 5 19:30:46 unknown authpriv.warn dropbear[4206]: Bad password attempt for 'root' from ::ffff:61.174.50.229:24054
Jan 5 19:30:46 unknown authpriv.warn dropbear[4205]: Bad password attempt for 'root' from ::ffff:61.174.50.229:23935
Jan 5 19:30:46 unknown authpriv.warn dropbear[4206]: Bad password attempt for 'root' from ::ffff:61.174.50.229:24054
Jan 5 19:30:46 unknown authpriv.warn dropbear[4205]: Bad password attempt for 'root' from ::ffff:61.174.50.229:23935
Jan 5 19:30:47 unknown authpriv.info dropbear[4206]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from ::ffff:61.174.50.229:24054
Jan 5 19:30:47 unknown authpriv.info dropbear[4205]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from ::ffff:61.174.50.229:23935
Jan 5 19:30:48 unknown authpriv.info dropbear[4207]: Child connection from ::ffff:61.174.50.229:28878
Jan 5 19:30:48 unknown authpriv.info dropbear[4208]: Child connection from ::ffff:61.174.50.229:28921
Jan 5 19:30:54 unknown authpriv.warn dropbear[4207]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28878
Jan 5 19:30:54 unknown authpriv.warn dropbear[4208]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28921
Jan 5 19:30:55 unknown authpriv.warn dropbear[4207]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28878
Jan 5 19:30:55 unknown authpriv.warn dropbear[4208]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28921
Jan 5 19:30:56 unknown authpriv.warn dropbear[4207]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28878
Jan 5 19:30:56 unknown authpriv.warn dropbear[4208]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28921
Jan 5 19:30:56 unknown authpriv.warn dropbear[4207]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28878
Jan 5 19:30:56 unknown authpriv.warn dropbear[4208]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28921
Jan 5 19:30:57 unknown authpriv.warn dropbear[4207]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28878
Jan 5 19:30:57 unknown authpriv.warn dropbear[4208]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28921
Jan 5 19:30:58 unknown authpriv.warn dropbear[4207]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28878
Jan 5 19:30:58 unknown authpriv.warn dropbear[4208]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28921
Jan 5 19:30:59 unknown authpriv.warn dropbear[4207]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28878
Jan 5 19:30:59 unknown authpriv.warn dropbear[4208]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28921
Jan 5 19:30:59 unknown authpriv.warn dropbear[4207]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28878
Jan 5 19:31:00 unknown authpriv.warn dropbear[4208]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28921
Jan 5 19:31:00 unknown authpriv.warn dropbear[4207]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28878
Jan 5 19:31:00 unknown authpriv.warn dropbear[4208]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28921
Jan 5 19:31:01 unknown authpriv.warn dropbear[4207]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28878
Jan 5 19:31:01 unknown authpriv.warn dropbear[4208]: Bad password attempt for 'root' from ::ffff:61.174.50.229:28921
Jan 5 19:31:01 unknown authpriv.info dropbear[4207]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from ::ffff:61.174.50.229:28878
Jan 5 19:31:01 unknown authpriv.info dropbear[4208]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from ::ffff:61.174.50.229:28921
Jan 5 19:31:02 unknown authpriv.info dropbear[4209]: Child connection from ::ffff:61.174.50.229:34162
Jan 5 19:31:02 unknown authpriv.info dropbear[4210]: Child connection from ::ffff:61.174.50.229:34248
Jan 5 19:31:02 unknown authpriv.info dropbear[4209]: Exit before auth: Error reading: Connection reset by peer
Jan 5 19:31:03 unknown authpriv.info dropbear[4210]: Exit before auth: Exited normally
Asus RT-AC86U Asuswrt-Merlin
 
qrs
Top  #2 Drukuj post
Dodano 05-01-2015 21:07
może wyłącz odpowiadanie na pingi i zmień usera 'root' na coś innego w nvram
---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
kille72
Top  #3 Drukuj post
Dodano 05-01-2015 21:16
Wpisz w Administration-Scripts-Firewall:

iptables -I INPUT -s IP -j DROP w Twoim przypadku

Cytat

iptables -I INPUT -s 61.174.50.229 -j DROP

pozniej przerestartuj firewalla:

Cytat

service firewall restart

jak bedzie wiecej Ip to dodajesz je w kolejnych linijkach.

A masz zaznaczone Limit Connection Attempts SSH 3 every 60 seconds? Jak tak to odznacz Save i zaznacz jeszcze raz Save.
 
bandi20
Top  #4 Drukuj post
Dodano 05-01-2015 21:20
dziękuję za szybką odpowiedź..
nawet mam ustawione 3 co 3600 sekund
Asus RT-AC86U Asuswrt-Merlin
 
kille72
Top  #5 Drukuj post
Dodano 05-01-2015 21:25
Moze w tym wlasnie problem. Ustaw 3/60 i zobacz co sie dzieje w logach.
 
bandi20
Top  #6 Drukuj post
Dodano 05-01-2015 21:27
a czy nie jest problemem że mam w tej zakładce (dostęp administratora) wyłączone demon SSH i TELNET ? ( w sensie usługi)
Asus RT-AC86U Asuswrt-Merlin
 
smereka
Top  #7 Drukuj post
Dodano 05-01-2015 21:29
Jeśli za często nie korzystasz to wyłącz zdalny dostęp przez ssh czyli port 22. U mnie pomogło. Jak chce się pobawić przez puty to po prostu za każdym razem loguje się przez gui i to odpalam zdalnie a potem wyłączam.
 
kille72
Top  #8 Drukuj post
Dodano 05-01-2015 21:32
Ja mam zdalne ssh na porcie 2222.
 
grz3si3k
Top  #9 Drukuj post
Dodano 06-01-2015 08:50
było o tym, juz kiedyś na forum, niech sobie ustawi zdalny na wysokim porcie jak pokazał @killer72 do tego logowanie za pomocą klucza, to przynajmniej załatwi temat bezpieczeństwa ssh, a na jakiś czas można np. wyłączyć w ogóle zdalny dostęp po www a WAN.
Mam stałe ip i też w ubiegłym roku borykałem się z atakami na ruter, jak dodałem do firewalla ip, to automat po tamtej stronie też zmieniał pule adresową :-) .Wyłączyłem więc zdalne logowanie po www, zmieniłem logowanie na klucze, i poczekałem tydzień, temat sam zniknął.
Edytowany przez grz3si3k dnia 06-01-2015 09:05
RT-AC68U
 
bandi20
Top  #10 Drukuj post
Dodano 06-01-2015 09:11
dostęp zdalny od strony WAN wyłączyłem przy pierwszym pojawieniu się w logach próby dostępu do routera.. dziękuję za poradę, chętnie skorzystam..

póki co w logach cisza Smile
Edytowany przez bandi20 dnia 06-01-2015 09:18
Asus RT-AC86U Asuswrt-Merlin
 
grz3si3k
Top  #11 Drukuj post
Dodano 06-01-2015 09:21
wydaje mi się że jeżeli automat po tamtej stronie na próbę wykonania login: root, automatycznie dostanie "Disconnected, No supported autentication methods available" to przestaną cie pingować.
Prosty tutorial do ustawiania za pomocą kluczy:może nie potrzebujesz, ale warto wiedzieć
Edytowany przez grz3si3k dnia 06-01-2015 09:29
RT-AC68U
 
bandi20
Top  #12 Drukuj post
Dodano 23-01-2015 08:51
tak tylko atkualizacyjnie... próby ustały Smile
Asus RT-AC86U Asuswrt-Merlin
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 107

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?
95,681,978 unikalnych wizyt
Copyright © OpenLinksys 2006-2021


Powered by PHPFusion Copyright © 2024 PHP Fusion Inc
Released as free software without warranties under GNU Affero GPL v3.