Не успел привязаться к 80 порту как поперли проходимцы. Имя им Легион. Where do they all come from?

-

Здравствуйте, Лазар Бешкенадзе, Вы писали:

ЛБ>Не успел привязаться к 80 порту как поперли проходимцы. Имя им Легион. Where do they all come from?

привыкай как к неизбежному злу.

4.241.200.97 — — [11/Dec/2025:03:33:28 +0000] "GET /wp-blog.php HTTP/1.1" 404 564 "https://www.google.de/" "Mozilla/5.0 (Linux; Android 13; SM-G991U) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.0.0 Mobile Safari/537.36"
4.241.200.97 — — [11/Dec/2025:03:33:28 +0000] "GET /wp-conflg/function.php HTTP/1.1" 301 178 "https://www.yahoo.com/" "Mozilla/5.0 (Linux; Android 13; M2101K6G) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Mobile Safari/537.36"
4.241.200.97 — — [11/Dec/2025:03:33:28 +0000] "GET /wp-conflg/function.php HTTP/1.1" 404 564 "https://www.yahoo.com/" "Mozilla/5.0 (Linux; Android 13; M2101K6G) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Mobile Safari/537.36"
45.153.226.147 — — [11/Dec/2025:03:44:38 +0000] "GET / HTTP/1.1" 200 25 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"
45.93.12.159 — — [11/Dec/2025:03:44:39 +0000] "GET /robots.txt HTTP/1.1" 404 22 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 17_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.0 Mobile/15E148 Safari/604.1"
31.44.8.142 — — [11/Dec/2025:03:44:46 +0000] "GET / HTTP/1.1" 200 25 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 17_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.0 Mobile/15E148 Safari/604.1"
212.192.195.164 — — [11/Dec/2025:03:44:46 +0000] "GET / HTTP/1.1" 200 25 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 17_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.0 Mobile/15E148 Safari/604.1"
212.192.195.164 — — [11/Dec/2025:03:44:46 +0000] "GET /favicon.ico HTTP/1.1" 404 22 "https://mailwl.ru/" "Mozilla/5.0 (iPhone; CPU iPhone OS 17_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.0 Mobile/15E148 Safari/604.1"
5.187.35.158 — — [11/Dec/2025:03:47:19 +0000] "GET / HTTP/1.1" 404 197 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 Edg/90.0.818.46"
3.248.248.88 — — [11/Dec/2025:03:47:35 +0000] "GET / HTTP/1.0" 200 25 "-" "Mozilla/5.0 (compatible; NetcraftSurveyAgent/1.0; +info@netcraft.com)"
167.99.205.249 — — [11/Dec/2025:03:54:07 +0000] "GET /+CSCOL+/Java.jar HTTP/1.1" 404 22 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36"
167.99.205.249 — — [11/Dec/2025:03:54:08 +0000] "GET /+CSCOE+/logon_forms.js HTTP/1.1" 404 22 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36"
167.99.205.249 — — [11/Dec/2025:03:54:08 +0000] "GET /+CSCOL+/a1.jar HTTP/1.1" 404 22 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36"
167.99.205.249 — — [11/Dec/2025:03:54:08 +0000] "GET /+CSCOE+/transfer.js HTTP/1.1" 404 22 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36"
94.154.35.236 — — [11/Dec/2025:03:56:28 +0000] "HEAD /wp-config.php.rar HTTP/1.1" 301 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36"
94.154.35.236 — — [11/Dec/2025:03:56:28 +0000] "HEAD /wp-config.php.rar HTTP/1.1" 404 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36"
193.142.147.209 — — [11/Dec/2025:04:26:26 +0000] "GET /cgi-bin/luci/;stok=/locale HTTP/1.1" 404 162 "-" "-"

Мне и на 22 порт нон-стоп ломятся, пароли подбирают. а у меня вход по сертификатам

Взял себе IP адрес это в смысле оформил у провайдера статический IP для самохостинга?

Здравствуйте, wl., Вы писали:

4.241.200.97 — — [11/Dec/2025:03:33:28 +0000]

Тут без вопросов.

"GET /wp-blog.php HTTP/1.1"

Это вроде как request line?

404

Это твой response?

564 "https://www.google.de/"

Вот это что такое?

Мне и на 22 порт нон-стоп ломятся, пароли подбирают. а у меня вход по сертификатам

Это мне тоже требуется.

-

Здравствуйте, Serpuh, Вы писали:

S>Взял себе IP адрес это в смысле оформил у провайдера статический IP для самохостинга?

Можно и так сказать но у меня и так был статический (то есть не менялся годы) только тот был private за провайдерским NAT а это прямо в Internet. В терминах моего провайдера — внешний IP:

https://www.monnet.ru/internet/tarifnyiy_planyi.html

-

Здравствуйте, Лазар Бешкенадзе, Вы писали:

ЛБ>Не успел привязаться к 80 порту как поперли проходимцы. Имя им Легион. Where do they all come from?

ЛБ>-

Тебя будут "посещать"

1) Поисковики. 4 бота яндекса, до 10 ботов гугла, 6 ботов бинга, 2 бота дакдакго, раз в меся приходят боты вольфрамальфа, примерно 50 ботов закрытых (не публичных) "корпоративных" поисковиков.

2) Твои порты (_все_ порты) будут обнюхивать сканботы ботнет сетей (например с взломанных wordpress и роутеров). Они будут пытаться делать странные http запросы к давно известным (и пока еще не известным 0day) уязвимостям широкраспространенных content managment system (wordpress, django, jumla, phpbb, etc). а так-же уязвимости telnet,ssh,smtp,pop3,imap,VPN,ftp,rdp,mssql,mysql,pgsql (невероятно много DB торчит в интернет с рутом/админом без пароля).

3) Тебя будут сканировать (известные порты и всё содержимое http(s)/ftp) "благотворительные" "институты" "безопасности" в поисках... а просто так, потому что могут. но если найдут контент (порно, детское порно, тексты с ключевыми словами, лицензионное видео,музыка,тексты) напишут грозный емэйл с обещанием неминуемых юридических кар небесных, если ты им не заплатишь.

Против первых ты можешь боротся, заблокировав известные (и не меняющиеся) ip адреса. Против остальных — блокировать ip бесполезно, они меняют их с частотой дыхания и такой-же легкостью.

3и от 2х отличаются только неким "официальным" статусом и как-бы юридическим "прикрытием".

Просто забей. Прими это как данность. Как природное явление. Как ветер. Как дождь.


p.s. Для успокоения можно установить (и настроить! "по умолчанию" он ничего не делает) fail2ban, на анализ логов и блокировку подозрительных ip на 1-3 суток. блокировать на дольше — бессмысленно.

Все проблемы от жадности и глупости

Здравствуйте, Лазар Бешкенадзе, Вы писали:
ЛБ>В терминах моего провайдера — внешний IP:

Сколько стоит в месяц?

Здравствуйте, Serpuh, Вы писали:

S>Сколько стоит в месяц?

100 руб. По адресу, который я указал в предыдущем сообщении, 3я строка снизу.

-

Здравствуйте, Stanislaw K, Вы писали:

SK>(например с взломанных wordpress и роутеров)

Может и мой маршрутизатор уже того. Как это узнать? У меня старенький ASUS. Будет неприятно если доберутся до моей порно коллекции.

SK>Просто забей. Прими это как данность. Как природное явление. Как ветер. Как дождь.

Забить наверно не получится. Но может это и к лучшему. Чем раньше вскроются уязвимости тем лучше. Но вот как понять что уже взломали?

-

Здравствуйте, Лазар Бешкенадзе, Вы писали:


SK>>(например с взломанных wordpress и роутеров)

ЛБ>Может и мой маршрутизатор уже того. Как это узнать? У меня старенький ASUS. Будет неприятно если доберутся до моей порно коллекции.

100% asus есть в CVE.

CVE-2024-3080 CVE-2025-59365, CVE-2025-59366, CVE-2025-59368, CVE-2025-59369, CVE-2025-59370, CVE-2025-59371, CVE-2025-59372 и CVE-2025-12003 (и это только свежие)

Рекомендую проверять роутер на уязвимости, ставшие известными за пол года ДО релиза твоей модели, даже особенно если по описанию не относящиеся к ней.

SK>>Просто забей. Прими это как данность. Как природное явление. Как ветер. Как дождь.

ЛБ>Забить наверно не получится.

Пей.
Не можешь пить алкоголь, пей иные успокоительные — "новопассит", заваривай мяту с валерианой.

ЛБ> Но вот как понять что уже взломали?

И что ты с этим сделаешь? /риторический вопрос/

Все проблемы от жадности и глупости

Здравствуйте, Лазар Бешкенадзе, Вы писали:

ЛБ>Можно и так сказать но у меня и так был статический (то есть не менялся годы) только тот был private за провайдерским NAT а это прямо в Internet. В терминах моего провайдера — внешний IP:

Дык забей да и всё. У меня внешний IP еще с 0-х висит. Использую, чтобы сетки вместе сводить из разных локаций и иметь доступ к внутренним сетям из любого места.
На входе висит обычный Кинетик, он всё фильтрует левое.
Еще исторически у меня висел SSH — я его на 443 порт повесил, чтобы можно было из офиса коннектиться (там все порты позакрывали) — ну иногда бывает что левые боты пытаются законнектиться, но это прям единичные случаи в течение дня — такого чтоб прям брутфорсили / ддосили не замечал — кому я нужен...

Здравствуйте, Stanislaw K, Вы писали:

SK>Против первых ты можешь боротся, заблокировав известные (и не меняющиеся) ip адреса. Против остальных — блокировать ip бесполезно, они меняют их с частотой дыхания и такой-же легкостью.
Я тебя уверяю, что у первых помимо официально представляющихся ботов существуют и т.н. "тайные боты", которые ходят с левых ip, и столь явно себя не выдвют. Это как полиция. Она может ходить как в официальной форме, так есть и сотрудники в штатском.

Все перечисленные в списке силы постоянно сканируют пространство ip адресов в поисках чего-то им интересного, неучтённого ранее в их базах.

Интернет — это стихия, которая живёт своей жизнью. Надо просто обязательно правильно настраивать своё оборудование и ПО. Не зря боевые серверы, смотрящие в интернет размещают в DMZ.

Здравствуйте, jamesq, Вы писали:

SK>>Против первых ты можешь боротся, заблокировав известные (и не меняющиеся) ip адреса. Против остальных — блокировать ip бесполезно, они меняют их с частотой дыхания и такой-же легкостью.
J>Я тебя уверяю, что у первых помимо официально представляющихся ботов существуют и т.н. "тайные боты", которые ходят с левых ip, и столь явно себя не выдвют. Это как полиция. Она может ходить как в официальной форме, так есть и сотрудники в штатском.

Да и пофиг.

J>Все перечисленные в списке силы постоянно сканируют пространство ip адресов в поисках чего-то им интересного, неучтённого ранее в их базах.

Есть еще всякие ИИ, они могут прикрываться как поисковыми ботами так и простыми браузерами, но ведут себя иначе.
Но с точки зрения безопасности ни чем не отличаются от 3).

J>Интернет — это стихия, которая живёт своей жизнью.

Я и говорю — природное явление.

J>Надо просто обязательно правильно настраивать своё оборудование и ПО. Не зря боевые серверы, смотрящие в интернет размещают в DMZ.

Это да, дополнительный рубеж, между интернетом и чем-то действительно ценным.

Но в случае домашней локалки этот сервер обычно и есть всё самое ценное. редко у кого дома больше одного сервера.

Все проблемы от жадности и глупости

Здравствуйте, Stanislaw K, Вы писали:

J>>Надо просто обязательно правильно настраивать своё оборудование и ПО. Не зря боевые серверы, смотрящие в интернет размещают в DMZ.

SK>Это да, дополнительный рубеж, между интернетом и чем-то действительно ценным.
SK>Но в случае домашней локалки этот сервер обычно и есть всё самое ценное. редко у кого дома больше одного сервера.

Я хочу сказать, что если ты тупо свой сервер подключишь к домашнему роутеру, у тебя никакого DMZ не образуется. А вот информация на компах в домашней сети — весьма и весьма ценная. Например архивы фоточек себя и родственников, медицинская информация, финансовая, пароли от сайтов, которые ты посещаешь, и много чего ещё. Это всё годами копится. И получается, если сервер хакнут, его легко смогут использовать как плацдарм для атаки на другие компы в домашней сети. Ибо никаких файрволлов внутри неё нету.

Здравствуйте, jamesq, Вы писали:

J>Я хочу сказать, что если ты тупо свой сервер подключишь к домашнему роутеру

Вот это — маршрутизатор — самая уязвимая точка потому что смотрит прямо в Internet.

J>И получается, если сервер хакнут

На нем через NAT наружу смотрит один порт на котором моя программа. И как хакнут если про нее ничего не известно? Может она дырявая — я не Бог — но кто про эти дыры знает?

Мне, правда, еще требуется OpenSSH выставить наружу.

-

Здравствуйте, Лазар Бешкенадзе, Вы писали:

ЛБ>Не успел привязаться к 80 порту как поперли проходимцы. Имя им Легион. Where do they all come from?

А зачем тебе 80 порт ? хостить сайт дома — это полный маразм
А для своих нужд можно и другими портами воспользоваться

Здравствуйте, Janus, Вы писали:

J>А зачем тебе 80 порт ? хостить сайт дома — это полный маразм
J>А для своих нужд можно и другими портами воспользоваться

Это не совсем сайт. Это некий сервис на базе протокола HTTP и какая разница на каком порту? Для минимизации левого трафика можно перейти на другой порт но сейчас, во время разработки, лучше пусть будет на default. Чем раньше всплывут проблемы тем лучше.

Просто уже сейчас мне нужно предоставить доступ другому человеку.

J>хостить сайт дома — это полный маразм

Это ты расскажи администрации RSDN.

-

Здравствуйте, wl., Вы писали:

wl.>привыкай как к неизбежному злу.

wl.>Мне и на 22 порт нон-стоп ломятся, пароли подбирают. а у меня вход по сертификатам

А у меня 3389 на забор вывешен.
Люблю логи почитать.
Кто только в гости не зайдёт — и Администратор, и Директор, и Светлана, и 1С...

Здравствуйте, alexsmirnoff, Вы писали:

wl.>>привыкай как к неизбежному злу.
wl.>>Мне и на 22 порт нон-стоп ломятся, пароли подбирают. а у меня вход по сертификатам

A>А у меня 3389 на забор вывешен.
A>Люблю логи почитать.

honeypot..

A>Кто только в гости не зайдёт — и Администратор, и Директор, и Светлана, и 1С...

можно еще "морду роутера" вывесить и собирать не только логины но и пароли.

или на любой запрос отдавать гигабайт /dev/random с выставленными соответствующим запросу content type и limit_rate 100k; kb/ps.

Все проблемы от жадности и глупости

Здравствуйте, Лазар Бешкенадзе, Вы писали:


ЛБ>Это не совсем сайт. Это некий сервис на базе протокола HTTP и какая разница на каком порту? Для минимизации левого трафика можно перейти на другой порт но сейчас, во время разработки, лучше пусть будет на default. Чем раньше всплывут проблемы тем лучше.

во время разработки это как раз дополнительная головная боль . фильтровать нужные запросы

J>>хостить сайт дома — это полный маразм

ЛБ>Это ты расскажи администрации RSDN.