Турки атакуют. Расчехляем iptables

Регулярно просматриваю логи Nginx и вижу одну и ту же картину — атаку украинских спамеров. Самое интересное, что 99% спама идет через одного провайдера — Киевстар. Гнилой провайдер, раз не смотрит за тем, чем именно занимаются его клиенты. Но ничего страшного, iptables киевстаровкие подсетки уже знает как родные. Но сейчас разговор не об этом.

Турки

Захожу я сегодня утром и вижу, что картина впервые за много лет принципиально изменилась. Где спамеры с Украины? Они сошли со сцены, а в топ вышли... турецкие каккеры. Именно каккеры, так как в отличии от украинцев, которые пытаются оставить комментарии с говноссылками и не проходят спамфильтр, турецкие хацкеры выполняют только одно простое действие — брутфорсят админский пароль к сайту. Я давным давно поставил защиту и после 5 неудачных попыток IP банится. Но турок это не останавливает. Они используют просто огромное количество новых IP-адресов. Все одного провайдера — TurkTelekom. Тысячи адресов. Примеры: 78.185.128.0/17, 85.102.0.0/17, 88.235.128.0/17 и так далее. Целая армия турецких куль-хацкеров перебирает пароли. Заметьте, с домашних компов. Даже не пытаются использовать VPN, Proxy или Tor.

Что это может означать? Да очевидно же: тамошние поцреоты наслушались местного фюрера и отправились в киберпространство демонстрировать величие Турции. Тупо брутфорсят сайты в .RU, надеясь найти слабые пароли: кюшай турецкий памидёр, а то твоя сайт в трубу шатать!

Что делать нам? Если вы не хотите, чтобы величие Турции было продемонстрировано конкретно на вашем сайте, то имеет смысл превентивно натравить iptables на все подсетки TurkTelekom. Напоминаю, делается это в Ubuntu/Debian так:

iptables -I INPUT -s 78.185.128.0/17 -j REJECT
iptables -I INPUT -s 85.102.0.0/17 -j REJECT
iptables -I INPUT -s 88.235.128.0/17 -j REJECT
...
service netfilter-persistent save

Подсетей довольно много и полный список можете найти в своем access.log.

Защити родные киберпросторы Руси-матушки! Натяни гандон iptables на армию турецкого киберагрессора!

4.9
Ваша оценка: Нет Средняя оценка: 4.9 (10 votes)

брутфорсят не домашние кулцхаккеры, а трояны, которые установлены на вендовых ведроидных устройствах

Ваша оценка: Нет Средняя оценка: 4.1 (7 votes)

А что можете сказать насчёт nftables (как замена iptables)? Годная вещь?

Ваша оценка: Нет Средняя оценка: 3.5 (2 votes)
Texnoline

а зачем- эта альтернатива, когда есть проверенная вещь!?:)

Ваша оценка: Нет Средняя оценка: 3.7 (3 votes)

"Примеры: 78.185.128.0/17, 85.102.0.0/17, 88.235.128.0/17 и так далее...
...
"Подсетей довольно много и полный список можете найти в своем access.log."
Все эти подсети принадлежат одной и той же автономной системе AS9121 (TurkTelecom), так что по ней можно легко дёрнуть полный список (если очень надо):
bgp.he.net/AS9121#_prefixes

Ваша оценка: Нет Средняя оценка: 5 (4 votes)

Провайдер не пастух. Его дело связь обеспечивать. Если Вы ему напишете, возможно он сможет сообщить абонентам, что их компы стали частью ботнета.

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
WindоUser

Извините, а с серверов amazonaws.com ваш сайт тоже атаковали что ли?

Ваша оценка: Нет
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.