System error critical login failure for user admin from via ssh - Исправление ошибок и поиск оптимальных решений проблем

зашел в терминал а там ужасть -как с этим бороться ?

gagarin74: Сообщения: 16; Зарегистрирован: 07 янв 2013, 10:48

IP адрес ко мне ни какого отношения не имеет, иногда бывают разные ip .
Это типо пароли подбирают ?
Как эту херь закрыть от любопытных ?

jan/26/2013 22:30:23 system,error,critical login failure for user root from 81.169
.132.144 via ssh
jan/26/2013 22:30:26 system,error,critical login failure for user root from 81.169
.132.144 via ssh
[admin@MikroTik] >
echo: system,error,critical login failure for user root from 81.169.132.144 via ss
h
[admin@MikroTik] >
echo: system,error,critical login failure for user root from 81.169.132.144 via ss
h
[admin@MikroTik] >
echo: system,error,critical login failure for user root from 81.169.132.144 via ss
h

Dragon_Knight: Сообщения: 1724; Зарегистрирован: 26 мар 2012, 18:21; Откуда: МО, Мытищи; Контактная информация:

26 янв 2013, 21:53

Обычный подбор пароля, ничего необычного и ничего страшного (ну конечно если пароль не 1234)…

Можно так закрыть:

Код: Выделить всё

/ip service
set telnet address="" disabled=yes port=23
set ftp address="" disabled=yes port=21
set www address=192.168.0.0/24 disabled=no port=12345
set ssh address="" disabled=yes port=22
set www-ssl address="" certificate=none disabled=yes port=443
set api address="" disabled=yes port=8728
set winbox address=192.168.0.0/24 disabled=no port=8291

Думаю понятно, что некоторые отключены, а те что включены разрешены только для локальной сети.

Небольшой свод правил логики и ссылок:

Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50″ телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
Не используйте WebFig или QuickSet — это пути к глюкам и ошибкам. Только SSH или WinBox, и да, — WinBox есть под Android.
name.rsc — это текстовый файл, и Вы можете его открыть блокнотом.
Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram
Мой сайт по Mikrotik: Global Zone >> MikroTik

iSupport: Сообщения: 2360; Зарегистрирован: 06 фев 2011, 20:44

29 янв 2013, 10:20

В предыдущем ответе есть все необходимое, службы надо либо донастроить, либо перенести на не стандартный порт, чтобы не ломали

Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос — тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь

gagarin74: Сообщения: 16; Зарегистрирован: 07 янв 2013, 10:48

Hassadar: Сообщения: 1; Зарегистрирован: 25 апр 2018, 10:04

25 апр 2018, 10:07

Помогите, пожалуйста, новичку. Ввёл в терминале эти команды:

/ip service
set telnet address=»» disabled=yes port=23
set ftp address=»» disabled=yes port=21
set www address=192.168.0.0/24 disabled=no port=12345
set ssh address=»» disabled=yes port=22
set www-ssl address=»» certificate=none disabled=yes port=443
set api address=»» disabled=yes port=8728
set winbox address=192.168.0.0/24 disabled=no port=8291

И теперь не могу зайти в панель управления через браузер с компа, подключённого по локальной сети к роутеру. Подскажите, как быть!

KARaS’b: Сообщения: 1199; Зарегистрирован: 29 сен 2011, 09:16

25 апр 2018, 12:07

Новичку хорошо бы сначала спрашивать, а только потом делать.
Эти команда отключили часть сервисов, а часть сделали доступными только из сети 192.168.0.0./24.
У вас, как у новичка, скорее всего дефолтная сеть микротика — 192.168.88.0/24, но при этом микротик ничего не знает, про сеть 192.168.0.0/24 и даже если вы выдадите компьютеру такой адрес вручную, у вас вряд ли что-то получится, грубо говоря у вас классически «выстрел в ногу».
Пробуйте подключиться не через браузер, а через винбоксом и не по ip а по маку. Если не поможет, то скорее всего вам придется сбрасывать устройство на дефолтные параметры с потерей вашей текущей конфигурации, если вы не сделали её бекап. Или возможно кто-то из местных предложит еще какой нибудь вариант.

Источник

Если в логах Mikrotik, вы увидели кучу сообщений о попытке входа под разными логинами/паролями, не спешите делать выводы, что вас ломают, особенно, если вы видите адрес источника из вашей локальной сеть.

Дело оказалось не в попытке взлома…

Проблема оказалась в бесплатном антивирусе AVG. В него встроили функцию трафик-инспектора, она периодически сканирует сеть и видя Mikrotik, начинает попытки подобрать имя пользователя и пароль.

Понятно, что AVG не пытается взломать Mikrotik, а только провести аудит безопасности.

Одно дело, если у вас несколько ПК с AVG, а если их 1000 и все они начнут сканировать сеть и по сути, атаковать ваше сетевое оборудование…

Антивирус на ПК пользователя, не должен заниматься сканированием уязвимости в сетевой инфраструктуре. Его задача контролировать то, что происходит на том ПК, где он стоит, а инфраструктурой должен заниматься администратор сети.

Тема обсуждения на reddit: https://www.reddit.com/r/antivirus/comments/qligwk/avg_hacked_or_simple_software_error/

Обсуждение на сайте поддержки AVG: https://support.avg.com/answers?id=9065p0000000jO6AAI

Ниже лог Mikrotik:

dec/23 14:31:33 system,error,critical login failure for user from 10.10.11.51 via ssh 
dec/23 14:31:33 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:34 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:34 system,error,critical login failure for user from 10.10.11.51 via ssh 
dec/23 14:31:34 system,error,critical login failure for user MikroTikSystem from 10.10.11.51 via ssh 
dec/23 14:31:35 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:35 system,error,critical login failure for user dircreate from 10.10.11.51 via ssh 
dec/23 14:31:35 system,error,critical login failure for user EServicios from 10.10.11.51 via ssh 
dec/23 14:31:36 system,error,critical login failure for user SolucTec from 10.10.11.51 via ssh 
dec/23 14:31:36 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:36 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:37 system,error,critical login failure for user user from 10.10.11.51 via ssh 
dec/23 14:31:38 system,error,critical login failure for user Admin from 10.10.11.51 via ssh 
dec/23 14:31:38 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:38 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:38 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:38 system,error,critical login failure for user meo from 10.10.11.51 via ssh 
dec/23 14:31:38 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:39 system,error,critical login failure for user Admin from 10.10.11.51 via ssh 
dec/23 14:31:39 system,error,critical login failure for user from 10.10.11.51 via ssh 
dec/23 14:31:39 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:40 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:40 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:40 system,error,critical login failure for user ubnt from 10.10.11.51 via ssh 
dec/23 14:31:41 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:41 system,error,critical login failure for user sysadm from 10.10.11.51 via ssh 
dec/23 14:31:41 system,error,critical login failure for user guest from 10.10.11.51 via ssh 
dec/23 14:31:42 system,error,critical login failure for user Administrator from 10.10.11.51 via ssh 
dec/23 14:31:42 system,error,critical login failure for user vodafone from 10.10.11.51 via ssh 
dec/23 14:31:42 system,error,critical login failure for user vodafone from 10.10.11.51 via ssh 
dec/23 14:31:42 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:42 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:43 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:43 system,error,critical login failure for user from 10.10.11.51 via ssh 
dec/23 14:31:43 system,error,critical login failure for user from 10.10.11.51 via ssh 
dec/23 14:31:43 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:44 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:44 system,error,critical login failure for user supervisor from 10.10.11.51 via ssh 
dec/23 14:31:45 system,error,critical login failure for user User from 10.10.11.51 via ssh 
dec/23 14:31:45 system,error,critical login failure for user user from 10.10.11.51 via ssh 
dec/23 14:31:45 system,error,critical login failure for user user from 10.10.11.51 via ssh 
dec/23 14:31:45 system,error,critical login failure for user Guest from 10.10.11.51 via ssh 
dec/23 14:31:45 system,error,critical login failure for user Guest from 10.10.11.51 via ssh 
dec/23 14:31:45 system,error,critical login failure for user Gearguy from 10.10.11.51 via ssh 
dec/23 14:31:46 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:46 system,error,critical login failure for user Cisco from 10.10.11.51 via ssh 
dec/23 14:31:46 system,error,critical login failure for user supervisor from 10.10.11.51 via ssh 
dec/23 14:31:47 system,error,critical login failure for user 11111 from 10.10.11.51 via ssh 
dec/23 14:31:47 system,error,critical login failure for user Admin from 10.10.11.51 via ssh 
dec/23 14:31:48 system,error,critical login failure for user Administrator from 10.10.11.51 via ssh 
dec/23 14:31:48 system,error,critical login failure for user from 10.10.11.51 via ssh 
dec/23 14:31:48 system,error,critical login failure for user guest from 10.10.11.51 via ssh 
dec/23 14:31:49 system,error,critical login failure for user user from 10.10.11.51 via ssh 
dec/23 14:31:49 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:33 system,error,critical login failure for user from 10.10.11.51 via ssh 
dec/23 14:31:33 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:34 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:34 system,error,critical login failure for user from 10.10.11.51 via ssh 
dec/23 14:31:34 system,error,critical login failure for user MikroTikSystem from 10.10.11.51 via ssh 
dec/23 14:31:35 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:35 system,error,critical login failure for user dircreate from 10.10.11.51 via ssh 
dec/23 14:31:35 system,error,critical login failure for user EServicios from 10.10.11.51 via ssh 
dec/23 14:31:36 system,error,critical login failure for user SolucTec from 10.10.11.51 via ssh 
dec/23 14:31:36 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:36 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:37 system,error,critical login failure for user user from 10.10.11.51 via ssh 
dec/23 14:31:38 system,error,critical login failure for user Admin from 10.10.11.51 via ssh 
dec/23 14:31:38 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:38 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:38 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:38 system,error,critical login failure for user meo from 10.10.11.51 via ssh 
dec/23 14:31:38 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:39 system,error,critical login failure for user Admin from 10.10.11.51 via ssh 
dec/23 14:31:39 system,error,critical login failure for user from 10.10.11.51 via ssh 
dec/23 14:31:39 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:40 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:40 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:40 system,error,critical login failure for user ubnt from 10.10.11.51 via ssh 
dec/23 14:31:41 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:41 system,error,critical login failure for user sysadm from 10.10.11.51 via ssh 
dec/23 14:31:41 system,error,critical login failure for user guest from 10.10.11.51 via ssh 
dec/23 14:31:42 system,error,critical login failure for user Administrator from 10.10.11.51 via ssh 
dec/23 14:31:42 system,error,critical login failure for user vodafone from 10.10.11.51 via ssh 
dec/23 14:31:42 system,error,critical login failure for user vodafone from 10.10.11.51 via ssh 
dec/23 14:31:42 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:42 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:43 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:43 system,error,critical login failure for user from 10.10.11.51 via ssh 
dec/23 14:31:43 system,error,critical login failure for user from 10.10.11.51 via ssh 
dec/23 14:31:43 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:44 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:44 system,error,critical login failure for user supervisor from 10.10.11.51 via ssh 
dec/23 14:31:45 system,error,critical login failure for user User from 10.10.11.51 via ssh 
dec/23 14:31:45 system,error,critical login failure for user user from 10.10.11.51 via ssh 
dec/23 14:31:45 system,error,critical login failure for user user from 10.10.11.51 via ssh 
dec/23 14:31:45 system,error,critical login failure for user Guest from 10.10.11.51 via ssh 
dec/23 14:31:45 system,error,critical login failure for user Guest from 10.10.11.51 via ssh 
dec/23 14:31:45 system,error,critical login failure for user Gearguy from 10.10.11.51 via ssh 
dec/23 14:31:46 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:46 system,error,critical login failure for user Cisco from 10.10.11.51 via ssh 
dec/23 14:31:46 system,error,critical login failure for user supervisor from 10.10.11.51 via ssh 
dec/23 14:31:47 system,error,critical login failure for user 11111 from 10.10.11.51 via ssh 
dec/23 14:31:47 system,error,critical login failure for user Admin from 10.10.11.51 via ssh 
dec/23 14:31:48 system,error,critical login failure for user Administrator from 10.10.11.51 via ssh 
dec/23 14:31:48 system,error,critical login failure for user from 10.10.11.51 via ssh 
dec/23 14:31:48 system,error,critical login failure for user guest from 10.10.11.51 via ssh 
dec/23 14:31:49 system,error,critical login failure for user user from 10.10.11.51 via ssh 
dec/23 14:31:49 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:49 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:50 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:50 system,error,critical login failure for user admim from 10.10.11.51 via ssh 
dec/23 14:31:51 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:52 system,error,critical login failure for user from 10.10.11.51 via ssh 
dec/23 14:31:52 system,error,critical login failure for user user from 10.10.11.51 via ssh 
dec/23 14:31:52 system,error,critical login failure for user Admin from 10.10.11.51 via ssh 
dec/23 14:31:53 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:53 system,error,critical login failure for user 1234 from 10.10.11.51 via ssh 
dec/23 14:31:54 system,error,critical login failure for user ADSL from 10.10.11.51 via ssh 
dec/23 14:31:54 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:54 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:55 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:56 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:56 system,error,critical login failure for user administrator from 10.10.11.51 via ssh 
dec/23 14:31:56 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:56 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:57 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:57 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:57 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:58 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:31:58 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:58 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:59 system,error,critical login failure for user Administrator from 10.10.11.51 via ssh 
dec/23 14:31:59 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:31:59 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:32:00 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:32:00 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:32:01 system,error,critical login failure for user admin from 10.10.11.51 via ssh 
dec/23 14:32:01 system,error,critical login failure for user root from 10.10.11.51 via ssh 
dec/23 14:32:01 system,error,critical login failure for user root from 10.10.11.51 via ssh

The following two tabs change content below.

Bio
Latest Posts

В профессиональной сфере занимаюсь всем, что связанно с IT. Основная специализация — VoIP и сети передачи данных. Стараюсь не заниматься Windows серверами (но иногда приходится) и 1С.

Источник

Обновлено 27.06.2019

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз мы с вами произвели базовую настройку роутера Mikrotik, тем самым наладив работу малого офиса. Изучая журналы логов на оборудовании вы можете увидеть события «login failure for user via ssh, telnet, web«, означающие, что на роутер идет атака брутфорса, по подбору пароля по определенным портам. Это означает, что нам нужно защитить наше оборудование от таких попыток, чем мы и займемся ниже, самое приятно, что все это делается буквально за минуту.

Как ограничить доступ к службам Mikrotik

Когда ваш роутер, в моем примере MikroTik RB4011iGS, получает внешний IP-адрес от провайдера, который вы настраиваете на WAN порту, то боты (Это такие роботизированные программы) завидев новое устройство с внешним адресом, сразу начинаю подбирать логин с паролем, чтобы получив к нему доступ начать рассылку спама или еще чего-нибудь. Данная практика касается абсолютно всех устройств. виртуальных машин, сайтов и многое другое, что имеет доступ в интернет, все это потенциальная цель для взлома и дальнейшего паразитического использования, поэтому вы как сетевой администратор или просто ответственный пользователь должны периодически просматривать события в журналах вашего устройства, чтобы идентифицировать попытки его компрометации.

Существует три метода позволяющие вам задать IP-фильтрацию, позволяющей вам ограничить доступ к службам роутера Mikrotik, только с определенных IP-адресов.

Использование утилиты WinBox
SSH / Telnet
Web-интерфейс

Как видим у нас есть три потенциальные точки проникновения на ваш роутер микротик. Как я и писал выше, зайдя на устройство, в разделе Log, я увидел вот такой подбор паролей по разным службам:

Как видим идет постоянная подборка учетных данных, раз в три секунды, для самого роутера эти события имеют статус «system, error, critical» и их генерирование, плохо сказывается на работе оборудования, создавая лишнюю нагрузку.

Обязательно создайте другого пользователя с новым логином и удалите учетную запись Admin, это мы делали при начальных настройках, шанс того. что вас взломают уменьшится в десятки раз

Самое главное правило любого сервиса, гласит, что работать должно минимально возможное количество служб, все остальное должно быть отключено, по возможности ограничьте доступ к службам, только необходимыми адресами, для кого он предназначается. Перефразировав, чем меньше фронт атаки, тем проще защищаться

Фильтрация и отключение служб через Services

Как я и писал выше, все что вы не используете вы должны отключить, в моем случае, мне для управления моим MikroTik RB4011iGS достаточно веб интерфейса, поэтому я отключу: ftp, ssh, telnet. Для этого слева есть столбец с кнопкой «D«.

В итоге на против нужной вам службы появился крестик и сама надпись стала прозрачной.

Пробуем проверить доступность порта из Германии, как видим 22 порт SSH закрыт, это хорошо, значит его больше не будут брутфорсить.

Если вы используете, например SSH, но хотите его оградить от перебора паролей, то вы можете пойти на хитрость и разрешить обращение к нему, только с определенной сети или IP-адреса. Для этого на включенной службе, щелкните два раза. В результате чего у вас откроется редактор правила фильтрации, где вам в поле «Port» необходимо указать по какому порту будет работать служба, для большей безопасности советую менять стандартные значения, на диапазон после 1024 и в поле «Avaliable From» указать сеть или IP-адрес, кому будет разрешено. Сохраняем правило.

В итоге у меня получилось вот так, пробуем проверить с другого IP доступ до служб.

Самое интересное, что порт при SSH при проверке с внешнего сервера показывал статус «Open», что слегка обескураживало

Но если вы попытаетесь подключиться через клиента Putty или его аналоги, то увидите ошибку подключения «Network error: Software caused connection abort», что доказывает, что созданное правило фильтрации на уровне службы работает.

Пробовал настроить фильтрацию служб и через WinBox, но результат тот же

Поэтапная блокировка IP откуда идет перебор паролей на Mikrotik

Предположим, что вы все же привыкли работать в терминале, но ограничиваться одним IP-адресом или подсеткой на уровне фильтрации на службе вы не хотите, тут у вас есть два выхода:

Во первых, вы можете отключить SSH и Telnet, оставив только веб-интерфейс, в котором есть тот же терминал. Попасть в него можно, выбрав на роутере Mikrotik соответствующую кнопку в правом, верхнем углу. Как видите тут есть все команды.

Второе, это настроить правила фильтрации и бана через SSH/Терминал, на этом я и остановлюсь. Лично я напоминаю, что я всегда стараюсь изменять стандартные значения портов на нестандартные, для большей безопасности.

Создание правил:

Первым делом перейдем в раздел /ip firewall filter

Когда кто-то первый раз обращается по SSH на порт 2233, то мы его идентифицируем для себя и помещаем к себе в список IP адресов под названием «ssh_round1» на 2 минуты

add chain=input protocol=tcp dst-port=2233 connection-state=new action=add-src-to-address-list address-list=ssh_round1 address-list-timeout=2m disabled=no

Далее наш роутер Mikrotik начинает наблюдать за новым IP-адресом, который был помещен в «ssh_round1«. Если он еще раз в течении 2-х минут попытается произвести подключение на порт SSH 2233 (В моем случае), то мы его помещаем во второй список «ssh_round2«, но уже на 2 минуты.

add chain=input protocol=tcp dst-port=2233 connection-state=new src-address-list=ssh_round1 action=add-src-to-address-list address-list=ssh_round2 address-list-timeout=2m disabled=no

Далее если кто-либо из второго списка «ssh_round2» вновь попытается подключиться по SSH 2233, то мы его в третий раз заносим в новый список «ssh_round3«, но уже на минуту, так как это уже подозрительно.

add chain=input protocol=tcp dst-port=2233 connection-state=new src-address-list=ssh_round2 action=add-src-to-address-list address-list=ssh_round3 address-list-timeout=1m disabled=no

Если мы выявляем, что из третьего списка к нам опять обратился данный IP-адрес, то заносим его в черный лист запрета и баним на 7 дней, неделю не меньше, как говорил кролик из Винни Пуха.

add chain=input protocol=tcp dst-port=2233 connection-state=new src-address-list=ssh_round3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=7d disabled=no

Если хотите, чтобы все кто попал в ваш блэклист были забанены на вечно, то для этого можно использовать правило:

add chain=input protocol=tcp dst-port=2233 src-address-list=ssh_blacklist action=drop comment=»drop ssh brute forcers» disabled=no

А вот так выглядят наши созданные правила в WinBox, раздел «Firewall».

Следуя таким конструкциям, вы можете создавать подобные правила и для других служб при необходимости. Надеюсь, что было интересно и вы смогли более надежно защитить ваш роутер Mikrotik.

Источник

G12R: Сообщения: 16; Зарегистрирован: 14 апр 2020, 17:25

Идет постоянная подборка пароля через ssh

На мой роутер идет постоянный подбор пароля по SSH.
Для хоть какойто защиты против этого был введена команда блокировки в Firewall:
/ip firewall filter

add action=jump chain=input comment=»sshbruteforces chain» connection-state=
new dst-port=22 jump-target=sshbruteforces protocol=tcp
add action=drop chain=sshbruteforces comment=»drop ssh brute forcers»
src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist
address-list-timeout=1w3d chain=sshbruteforces connection-state=new
src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3
address-list-timeout=1m chain=sshbruteforces connection-state=new
src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2
address-list-timeout=1m chain=sshbruteforces connection-state=new
src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1
address-list-timeout=1m chain=sshbruteforces connection-state=new
add chain=sshbruteforces dst-port=22 protocol=tcp
add action=drop chain=forward comment=»drop ssh brute downstream» disabled=
no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add chain=sshbruteforces dst-port=22 protocol=tcp connection-state=new
add action=drop chain=forward comment=»drop ssh brute downstream» dst-port=22
protocol=tcp src-address-list=ssh_blacklist

Вот как меня ломают в терминале:

(27 messages not shown)
aug/12/2022 23:15:49 system,error,critical login failure for user root from 208.67
.105.35 via ssh
aug/12/2022 23:15:51 system,error,critical login failure for user root from 208.67
.105.35 via ssh
aug/12/2022 23:15:53 system,error,critical login failure for user root from 208.67
.105.35 via ssh
aug/12/2022 23:57:00 system,error,critical login failure for user anonymous from 3
4.78.6.216 via ftp
aug/12/2022 23:57:28 system,error,critical login failure for user admin from 167.1
72.46.104 via ssh
aug/12/2022 23:57:28 system,error,critical login failure for user root from 167.17
2.46.104 via ssh
aug/13/2022 00:54:44 system,error,critical login failure for user admin from 113.6
1.219.237 via ssh
aug/13/2022 01:01:13 system,error,critical login failure for user root from 61.218
.134.63 via ssh
01:48:23 echo: system,error,critical login failure for user admin from 14.50.131.3
6 via ssh

Вообщем этот гад заходит через впн и скрипт его блокирует. У меня за 2 дня уже 41 ip заблокирован. Можно конечно порт сменить ssh но как я понял это не особо может помоч.
Я не особо понял описание как используется SSH. Меня по локалке ломают или это както пытаются напрямую к роутеру подключится.

G12R: Сообщения: 16; Зарегистрирован: 14 апр 2020, 17:25

Re: Идет постоянная подборка пароля через ssh

Сообщение

G12R » 13 авг 2022, 19:07

Плиз помогите заблокировать хакера. Он уже по ftp меня ломает и ip с которого происходит взлом уже в черном списке. Вот с терминала строчка:
18:58:20 echo: system,error,critical login failure for user user from 173.185.114.16 via ftp

Sir_Prikol: Сообщения: 556; Зарегистрирован: 14 апр 2018, 15:21; Откуда: СССР; Контактная информация:

Re: Идет постоянная подборка пароля через ssh

Сообщение

Sir_Prikol » 15 авг 2022, 20:21

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward comment="1.1. Forward and Input Established and Related connections" connection-state=established,related in-interface-list=iNET
add action=drop chain=forward connection-state=invalid in-interface-list=iNET
add action=accept chain=input connection-state=established,related in-interface-list=iNET
add action=drop chain=input connection-state=invalid in-interface-list=iNET
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=iNET
add action=jump chain=forward comment="1.2. DDoS Protect - SYN Flood" connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=iNET jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=2k,5:packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new in-interface-list=iNET protocol=tcp tcp-flags=syn
add action=reject chain=input comment="1.3. Protected - Ports Scanners" in-interface-list=iNET reject-with=icmp-network-unreachable src-address-list=zz_xPORT_SCANNER
add action=add-src-to-address-list address-list=zz_xPORT_SCANNER address-list-timeout=4w2d chain=input in-interface-list=iNET protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=zz_xPORT_SCANNER address-list-timeout=2w1d chain=forward in-interface-list=iNET protocol=tcp psd=21,3s,3,1
add action=reject chain=input comment="1.4. Protected - FTP Access" dst-port=21 in-interface-list=iNET protocol=tcp reject-with=icmp-network-unreachable src-address-list=zz_xFTP_BLOCK
add action=add-src-to-address-list address-list=zz_xFTP_BLOCK address-list-timeout=4w2d chain=input connection-state=new dst-port=21 in-interface-list=iNET protocol=tcp src-address-list=zzz_FTP_stage3
add action=add-src-to-address-list address-list=zzz_FTP_stage3 address-list-timeout=3m chain=input connection-state=new dst-port=21 in-interface-list=iNET protocol=tcp src-address-list=zzz_FTP_stage2
add action=add-src-to-address-list address-list=zzz_FTP_stage2 address-list-timeout=2m chain=input connection-state=new dst-port=21 in-interface-list=iNET protocol=tcp src-address-list=zzz_FTP_stage1
add action=add-src-to-address-list address-list=zzz_FTP_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=21 in-interface-list=iNET protocol=tcp
add action=accept chain=input dst-port=21 in-interface-list=iNET protocol=tcp
add action=reject chain=input comment="1.5. Protected - SSH Access" dst-port=22 in-interface-list=iNET protocol=tcp reject-with=icmp-network-unreachable src-address-list=zz_xSSH_BLOCK
add action=add-src-to-address-list address-list=zz_xSSH_BLOCK address-list-timeout=4w2d chain=input connection-state=new dst-port=22 in-interface-list=iNET protocol=tcp src-address-list=zzz_SSH_stage3
add action=add-src-to-address-list address-list=zzz_SSH_stage3 address-list-timeout=3m chain=input connection-state=new dst-port=22 in-interface-list=iNET protocol=tcp src-address-list=zzz_SSH_stage2
add action=add-src-to-address-list address-list=zzz_SSH_stage2 address-list-timeout=2m chain=input connection-state=new dst-port=22 in-interface-list=iNET protocol=tcp src-address-list=zzz_SSH_stage1
add action=add-src-to-address-list address-list=zzz_SSH_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 in-interface-list=iNET protocol=tcp
add action=accept chain=input dst-port=22 in-interface-list=iNET protocol=tcp
add action=reject chain=input comment="1.6. Protected - RDP Access" dst-port=3389 in-interface-list=iNET protocol=tcp reject-with=icmp-network-unreachable src-address-list=zz_xRDP_BLOCK
add action=add-src-to-address-list address-list=zz_xRDP_BLOCK address-list-timeout=4w2d chain=input connection-state=new dst-port=3389 in-interface-list=iNET protocol=tcp src-address-list=zzz_RDP_stage3
add action=add-src-to-address-list address-list=zzz_RDP_stage3 address-list-timeout=3m chain=input connection-state=new dst-port=3389 in-interface-list=iNET protocol=tcp src-address-list=zzz_RDP_stage2
add action=add-src-to-address-list address-list=zzz_RDP_stage2 address-list-timeout=2m chain=input connection-state=new dst-port=3389 in-interface-list=iNET protocol=tcp src-address-list=zzz_RDP_stage1
add action=add-src-to-address-list address-list=zzz_RDP_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=3389 in-interface-list=iNET protocol=tcp
add action=accept chain=input dst-port=3389 in-interface-list=iNET protocol=tcp
add action=reject chain=input comment="1.7. Protected - WinBox Access" dst-port=8291 in-interface-list=iNET protocol=tcp reject-with=icmp-network-unreachable src-address-list=zz_xWinBox_BLOCK
add action=add-src-to-address-list address-list=zz_xWinBox_BLOCK address-list-timeout=4w2d chain=input connection-state=new dst-port=8291 in-interface-list=iNET protocol=tcp src-address-list=zzz_WinBox_stage3
add action=add-src-to-address-list address-list=zzz_WinBox_stage3 address-list-timeout=3m chain=input connection-state=new dst-port=8291 in-interface-list=iNET protocol=tcp src-address-list=zzz_WinBox_stage2
add action=add-src-to-address-list address-list=zzz_WinBox_stage2 address-list-timeout=2m chain=input connection-state=new dst-port=8291 in-interface-list=iNET protocol=tcp src-address-list=zzz_WinBox_stage1
add action=add-src-to-address-list address-list=zzz_WinBox_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=iNET protocol=tcp
add action=accept chain=input dst-port=8291 in-interface-list=iNET protocol=tcp
add action=accept chain=input comment="1.8. Access Normal Ping" in-interface-list=iNET limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment="9.9. Drop All Other" in-interface-list=iNET

Будет блочить на определённое время в автоматическом режиме.

Время можно самому сделать, ну и, естественно, сделано через интерфейслисты. Аплинк должен находится в нём.

Можно через RAW, но там есть некоторые нюансы.
У еня, при таком раскладе, собирает около 5K айпишников за месяц, поэтому ротация

Дома: CCR2004 (7-ISP(GPON)белый IP)

Chupaka: Сообщения: 3631; Зарегистрирован: 29 фев 2016, 15:26; Откуда: Минск; Контактная информация:

Re: Идет постоянная подборка пароля через ssh

Сообщение

Chupaka » 16 авг 2022, 13:52

А я просто отключаю доступ к SSH из Интернета. Он вам действительно нужен?

З.Ы. Ломает вас куча разных «людей», подозреваю. Это обычные сканеры, которые перебирают на доступных ресурсах стандартные пары «логин-пароль», чтобы вырастить ферму подконтрольных роутеров.

G12R: Сообщения: 16; Зарегистрирован: 14 апр 2020, 17:25

Re: Идет постоянная подборка пароля через ssh

Сообщение

G12R » 16 авг 2022, 18:36

1)Насчет людей подбирающих, может и людей но мне так кажется это тех которых уже ломанули и скрипт подбора на роутере стоит, хотя я не знаю можноли не на микротике скрипт сделать подбора. Не все ведь поменяли стартовый пароль на роутере.
2)У меня подключен статический ip адрес и вначале подуал на него(ктото узнал его) но сегодня через прова сменил айпишник а взлом продолжается а значит провайдерский статический айпишник тут непричем или его смогли както узнать. У меня просто на самом роутере включен DOH от клодфейр и трафик ведь шифруется по крайней мере на компьютерах а на смарте уже шифрование не работает.
Chupaka Ответь пожалуйста, хотябы предположи ты ведь лучше понимаеш наш роутер, откуда кроме статики меня могут ломать или я прав по 1 пункту. Взлом врятли прекратится но хотябы знать откуда эта зараза лезет.
Если я через winbox захожу, для настройки роутера используется для входа ssh или нет. ftp пользуюсь редко но всетаки использую и не знаю стоитли его отключать. web профиль в последнии дни начал тоже появлятся в терминале. Если на 1 два у меня ip подборщики помещаются в одну кучу(ssh_blacklist)то то что делать с web профилем я даже не знаю.
Sir_Pricol Спасибо за скрипт. Я смотрю ты все что только можно там позакрывал. Скрипт скопировал но попробую его в действии позже.

Sir_Prikol: Сообщения: 556; Зарегистрирован: 14 апр 2018, 15:21; Откуда: СССР; Контактная информация:

Re: Идет постоянная подборка пароля через ssh

Сообщение

Sir_Prikol » 16 авг 2022, 22:18

Как раз не всё, это защита от сканеров. Вас не ломают, вас сканируют — это нормально. Смена айпишника не поможет. В этих ваших интернетах, сканнеров хоть ж…ой трескай

Дома: CCR2004 (7-ISP(GPON)белый IP)

Chupaka: Сообщения: 3631; Зарегистрирован: 29 фев 2016, 15:26; Откуда: Минск; Контактная информация:

Re: Идет постоянная подборка пароля через ssh

Сообщение

Chupaka » 16 авг 2022, 22:59

winbox — это не ssh. Закрывайте доступ из Интернета и подключайтесь из локалки или VPN — и будет вам счастье. Что-то типа такого:

/ip firewall filter add chain=input connection-state=new in-interface-list=WAN (если там актуальная информация) action=drop

G12R: Сообщения: 16; Зарегистрирован: 14 апр 2020, 17:25

Re: Идет постоянная подборка пароля через ssh

Сообщение

G12R » 29 авг 2022, 19:28

Chupaka спасибо за последнее правило так как оно помогло и блокирует запросы через web на роутер но я иногда захожу через смартфон и это правило доступ блокирует. Все меня ломают только по web. Хочу собрать по возможности все адреса подборщиков и где нибудь выложить их.
Внес правило ‘Honeypot» и полетели куча ip адресов. Можно внести 80 порт в данное правило и так собирать еще больше адресов. А вдруг забуду отключить порт из правила и в бан улечу. У меня уже за 3 дня собрало данное правило почти 1500 адресов. Может можно както обезопасить себя и правило внести в файрвол. В верхнем правиле которое я указал выше с помощью тестов выяснил что при неправильном пароле, через винбокс информация о неправильном пароле появляется в терминале но при этом адрес не помещается при первых 2 ошибках в адрес лист. Может можно что нибудь для «Honeypot» по аналогии вписать для защиты.

wan: Сообщения: 81; Зарегистрирован: 20 авг 2017, 13:43

Re: Идет постоянная подборка пароля через ssh

Сообщение

wan » 29 авг 2022, 21:00

G12R писал(а): ↑29 авг 2022, 19:28
Chupaka спасибо за последнее правило так как оно помогло и блокирует запросы через web на роутер но я иногда захожу через смартфон и это правило доступ блокирует. Все меня ломают только по web. Хочу собрать по возможности все адреса подборщиков и где нибудь выложить их.
Внес правило ‘Honeypot» и полетели куча ip адресов. Можно внести 80 порт в данное правило и так собирать еще больше адресов. А вдруг забуду отключить порт из правила и в бан улечу. У меня уже за 3 дня собрало данное правило почти 1500 адресов. Может можно както обезопасить себя и правило внести в файрвол. В верхнем правиле которое я указал выше с помощью тестов выяснил что при неправильном пароле, через винбокс информация о неправильном пароле появляется в терминале но при этом адрес не помещается при первых 2 ошибках в адрес лист. Может можно что нибудь для «Honeypot» по аналогии вписать для защиты.

1. не мучайте себе голову и отключите все сервисы кроме winbox: ip service disable ***
2. с телефона для доступа к микроту используйте приложение, а не web и будет вам счастье
3. вот поправленый ваш список правил, что бы сканировщики улетали в блок на временной интервал, всех вы не отловите, они меняют адреса:

Код: Выделить всё

/ip firewall filter
add action=log chain=log disabled=yes
add action=log chain=log disabled=yes
add action=drop chain=input comment="DROP DNS from WAN" dst-port=53 
    in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="DROP DNS from WAN" dst-port=53 
    in-interface-list=WAN protocol=udp
add action=log chain=log disabled=yes
add action=log chain=log disabled=yes
add action=add-dst-to-address-list address-list=connection-limit 
    address-list-timeout=1d chain=input comment=Connection_limit 
    connection-limit=100,32 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment=Adr_list_connection-limit_drop 
    in-interface-list=WAN src-address-list=connection-limit
add action=log chain=log disabled=yes
add action=log chain=log disabled=yes
add action=add-src-to-address-list address-list=perebor_portov_drop 
    address-list-timeout=6h chain=input comment=Perebor_portov_add_list 
    connection-nat-state=!dstnat connection-state=new dst-port=
    21,22,80,443,3128,3389,8080-8082 in-interface-list=WAN log-prefix=
    "Attack:: perebor_portov--" protocol=tcp
add action=drop chain=input comment=Perebor_portov_list_drop 
    connection-nat-state=!dstnat in-interface-list=WAN src-address-list=
    perebor_portov_drop
add action=log chain=log disabled=yes
add action=log chain=log disabled=yes
add action=add-src-to-address-list address-list="port scanners" 
    address-list-timeout=4w2d chain=input comment="Port scaners" 
    in-interface-list=WAN protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" 
    address-list-timeout=4w2d chain=input comment=-//-//-//- 
    in-interface-list=WAN protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" 
    address-list-timeout=4w2d chain=input comment=-//-//-//- 
    in-interface-list=WAN protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" 
    address-list-timeout=4w2d chain=input comment=-//-//-//- 
    in-interface-list=WAN protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" 
    address-list-timeout=4w2d chain=input comment=-//-//-//- 
    in-interface-list=WAN protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" 
    address-list-timeout=4w2d chain=input comment=-//-//-//- 
    in-interface-list=WAN protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" 
    address-list-timeout=4w2d chain=input comment=-//-//-//- 
    in-interface-list=WAN protocol=tcp tcp-flags=
    !fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment=Port_scanner_drop in-interface-list=WAN 
    src-address-list="port scanners"

Источник

в последнее время начал в логих наблюдать следующее:

10:41:18 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:20 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:22 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:24 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:26 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:28 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:30 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:32 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:34 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:36 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:38 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:40 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:42 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:44 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:46 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:48 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:50 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:52 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:54 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:56 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:41:58 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:00 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:02 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:04 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:06 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:08 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:10 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:12 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:14 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:16 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:18 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:20 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:22 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:24 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:26 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:28 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:30 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:32 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:34 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:36 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:38 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:40 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:42 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:44 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:46 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:48 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:50 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:52 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:54 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:56 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:42:58 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:00 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:02 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:04 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:06 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:08 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:10 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:12 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:14 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:16 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:18 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:20 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:22 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:24 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:26 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:28 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:30 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:32 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:34 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:36 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:38 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:40 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:42 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:44 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:46 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:48 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:50 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:52 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:54 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:56 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:43:58 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:44:00 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:44:02 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:44:04 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:44:06 system,error,critical login failure for user root from 8.25.218.88 via ssh
10:44:08 system,error,critical login failure for user root from 8.25.218.88 via ssh
18:03:01 system,error,critical login failure for user anonymous from 10.100.8.182 via ftp
18:37:01 system,error,critical login failure for user anonymous from 10.100.13.52 via ftp
18:37:02 system,error,critical login failure for user anonymous from 10.100.13.52 via ftp
19:55:48 system,error,critical login failure for user anonymous from 10.100.12.64 via ftp
20:42:29 system,error,critical login failure for user anonymous from 10.100.9.113 via ftp
20:42:30 system,error,critical login failure for user anonymous from 10.100.9.113 via ftp
21:25:06 system,info,account user admin logged in from 10.100.12.239 via winbox

внешний адресс постоянно меняется, внутренний тоже.

почему это происходит и как с этим бороться?

Источник

зашел в терминал а там ужасть -как с этим бороться ?

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://forummikrotik.ru/images/icons/smile/question.gif" width="16" height="16" alt title />

Как ограничить доступ к службам Mikrotik

Фильтрация и отключение служб через Services

Поэтапная блокировка IP откуда идет перебор паролей на Mikrotik

Создание правил:

Идет постоянная подборка пароля через ssh

Re: Идет постоянная подборка пароля через ssh

Re: Идет постоянная подборка пароля через ssh

Re: Идет постоянная подборка пароля через ssh

Re: Идет постоянная подборка пароля через ssh

Re: Идет постоянная подборка пароля через ssh

Re: Идет постоянная подборка пароля через ssh

Re: Идет постоянная подборка пароля через ssh

Re: Идет постоянная подборка пароля через ssh