AWS и Китайские хацкеры

tessob · Post by **tessob** » 26 Oct 2019 09:41

Последние недели 3-4 у меня на всех серверах в Амазоне Nginx логи включают кучу попыток подбора паролей к томкатовским серверам. Хочу понять -- это модная фишка сезона или интерес именно к моей инфраструктуре. Все запросы с Китайских IP. Бо'льшая часть из региона Уйгуров.

По поводу самих серверов я не переживаю. Там есть запланированные бекдоры в никуда.

M. Ridcully · Post by **M. Ridcully** » 26 Oct 2019 19:06

Может, вы просто последние недели 3-4 стали в логи заглядывать?

Flash-04 · Post by **Flash-04** » 27 Oct 2019 04:01

Гы! Точно. Запомните раз и навсегда: ваши ресурсы всегда и везде будут проверять на прочность.

geek7 · Post by **geek7** » 27 Oct 2019 14:20

Flash-04 wrote: 27 Oct 2019 04:01 Гы! Точно. Запомните раз и навсегда: ваши ресурсы всегда и везде будут проверять на прочность.

AFAIK AWS особо любим т.к. там часто девелопмент с большими шансами на дырку и вообще можно дохакатся до прав скажем на ec2:* и назапускать себе майнеров или там ботов вплоть до лимита.
но TS спрашивал конкретно про китайцев из уйгурской местности... это случайность или действительно тепрь оттуда модно, а не скажем из украины, нигерии итп?

Flash-04 · Post by **Flash-04** » 27 Oct 2019 14:36

Так китайцы всегда держали флаг в этом деле. Российско-украинские и китайские хакеры устойчиво делят первое место последние лет 10 наверное. Причём если первые стараются это делать с американских и европейских хостингов, то китайцы этим не заморачиваются и шарашат напрямую из Китая.

tessob · Post by **tessob** » 27 Oct 2019 15:05

Flash-04 wrote: 27 Oct 2019 14:36Так китайцы всегда держали флаг в этом деле.

У меня Китай раньше как-то особо не выделялся. Просто в последнее время в автоматическом разборе логов начался большой перекос статистики в сторону адресов из северного Китая.
Запросы со стандартными паролями от различных серверов регулярно приходят вот уже более 20 лет. Отовсюду. Это наверное самое постоянное явление в моей жизни.

liamkin · Post by **liamkin** » 28 Oct 2019 14:54

tessob wrote: 27 Oct 2019 15:05
Flash-04 wrote: 27 Oct 2019 14:36Так китайцы всегда держали флаг в этом деле.
У меня Китай раньше как-то особо не выделялся. Просто в последнее время в автоматическом разборе логов начался большой перекос статистики в сторону адресов из северного Китая.
Запросы со стандартными паролями от различных серверов регулярно приходят вот уже более 20 лет. Отовсюду. Это наверное самое постоянное явление в моей жизни.

А как защищаетесь? Ставите им задержку после неудачной попытки? Я nginx немного знаю, но вот конкретно защитами от взлома не интересовался.

tessob · Post by **tessob** » 28 Oct 2019 16:31

liamkin wrote: 28 Oct 2019 14:54А как защищаетесь? Ставите им задержку после неудачной попытки? Я nginx немного знаю, но вот конкретно защитами от взлома не интересовался.

Защита традиционная -- все порты закрыты, все стандартные пароли изменены. Как ставить задержку для удаленного пользователя я без понятия. Сам nginx никто не ломает, у меня просто за ним кластер и он на него проксирует.

helg · Post by **helg** » 28 Oct 2019 17:17

tessob wrote: 28 Oct 2019 16:31Как ставить задержку для удаленного пользователя я без понятия.

Рекомендую fail2ban

Flash-04 · Post by **Flash-04** » 28 Oct 2019 17:21

Кстати да, для SSH самое то.
Если у вас web приложение, то смотрите на предмет попыток эксплоитов уязвимостей. Web приложения - вещь сложная, всегда могут найтись дыры о которых вы не знаете.

tessob · Post by **tessob** » 28 Oct 2019 17:23

helg wrote: 28 Oct 2019 17:17Рекомендую fail2ban

У меня весь фронт, на котором сидят юзеры, всегда скалируется горизонтально. Для меня не проблема поднять еще два ведра виртуалок и озадачить ддосеров.

tessob · Post by **tessob** » 28 Oct 2019 17:34

Flash-04 wrote: 28 Oct 2019 17:21 Кстати да, для SSH самое то.
Если у вас web приложение, то смотрите на предмет попыток эксплоитов уязвимостей. Web приложения - вещь сложная, всегда могут найтись дыры о которых вы не знаете.

Что касается SSH, то у меня в его отношении совсем другие поводы для паранойи. У меня SSH обычно только до облака. А внутри облака просто закрытые порты и весь трафик обычно гуляет по проводам в нешифрованном виде. И я понимаю, что, с учетом усложнения инфраструктуры облаков, эксплоит для слушания подобного трафика - это только вопрос времени. Вот с учетом всяких озер данных и прочих хадупов это напрягает.

Flash-04 · Post by **Flash-04** » 28 Oct 2019 17:45

Ну кстати да, инстанс в aws видит другие инстансы через локальную сеть.
Поэтому мне больше нравятся хосиеры типа ovh где интерфейс смотрит наружу без посредников.

tessob · Post by **tessob** » 28 Oct 2019 18:27

Flash-04 wrote: 28 Oct 2019 17:45Поэтому мне больше нравятся хосиеры типа ovh где интерфейс смотрит наружу без посредников.

Это уже не решение на сегодня. Просто у меня за nginxом же целый зоопарк из баз данных, очередей, брокеров и прочей нечисти. И только самая чувствительная информация хранится за VPN на каком-нибудь дряхлом серваке с непрогнозируемой доступностью в частно-приватном энтерпрайсном интеллектуальном он-премис облаке.

geek7 · Post by **geek7** » 28 Oct 2019 19:47

Flash-04 wrote: 28 Oct 2019 17:45 Ну кстати да, инстанс в aws видит другие инстансы через локальную сеть.
Поэтому мне больше нравятся хосиеры типа ovh где интерфейс смотрит наружу без посредников.

если чем-то не нравится ограничивать инстансы их ACL то можно и вообще их распихать по разным подсетям или вообще VPC.
Я видимо непонял в чём предполагаемая проблема - предполагается что есть возможность слушать в подсетке broadcast /multicast ?

Привет

AWS и Китайские хацкеры

AWS и Китайские хацкеры

Re: AWS и Китайские хацкеры

Re: AWS и Китайские хацкеры

Re: AWS и Китайские хацкеры

Re: AWS и Китайские хацкеры

Re: AWS и Китайские хацкеры

Re: AWS и Китайские хацкеры

Re: AWS и Китайские хацкеры

Re: AWS и Китайские хацкеры

Re: AWS и Китайские хацкеры

Re: AWS и Китайские хацкеры

Re: AWS и Китайские хацкеры

Re: AWS и Китайские хацкеры

Re: AWS и Китайские хацкеры

Re: AWS и Китайские хацкеры