Мои сервера атакуют!!!

Posted by

Не было у меня системы мониторинга Zabbix, и жил я в счастливом неведении…
Сейчас у меня есть Zabbix…

И оказалось, что сервера, которые я обслуживаю, атакуют, постоянно пытаются подобрать пароли от пользовательских аккаунтов.
Причём очень интересно атакуют…

Если ранее перебор паролей шёл с одного адреса, и шёл достаточно активно (до 10 попыток в секунду), то сейчас тактика поменялась.
Например, сейчас пытаются подобрать пароль пользователя к RDP-серверу, но атака идёт не с одного адреса, что достаточно просто отследить, а с пяти- десяти адресов. Кроме того, с каждого адреса идёт не более одного запроса в минуту, а это очень похоже на работу обычного пользователя с плохим каналом интернета, когда соединение постоянно рвётся.

Пришлось настраивать шлюз интернета (МикроТик!!!) так, чтобы он следил за активностью подключений. Если в течение 5 минут с одного адреса пришло более 3 запросов на подключение к серверу, атакующий IP-адрес блокируется на сутки. Конечно, возможны ложные срабатывания, которые заблокируют и настоящих пользователей…

НО!!!
Телефоны уже изобретены, пользователь мне позвонит, назовёт свой IP-адрес и я всегда смогу убрать этот адрес из списка блокировки…

Вот как-то так… 😊

PS.
МикроТик + Zabbix + мозги – это круто!!!