Re[2]: Взял себе IP адрес
От: Ilya81  
Дата: 11.12.25 16:49
Оценка:
Здравствуйте, wl., Вы писали:

wl.>Здравствуйте, Лазар Бешкенадзе, Вы писали:

ЛБ>>Не успел привязаться к 80 порту как поперли проходимцы. Имя им Легион. Where do they all come from?

wl.>привыкай как к неизбежному злу.
wl.>

wl.>4.241.200.97 — — [11/Dec/2025:03:33:28 +0000] "GET /wp-blog.php HTTP/1.1" 404 564 "https://www.google.de/" "Mozilla/5.0 (Linux; Android 13; SM-G991U) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.0.0 Mobile Safari/537.36"
wl.>4.241.200.97 — — [11/Dec/2025:03:33:28 +0000] "GET /wp-conflg/function.php HTTP/1.1" 301 178 "https://www.yahoo.com/" "Mozilla/5.0 (Linux; Android 13; M2101K6G) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Mobile Safari/537.36"
wl.>4.241.200.97 — — [11/Dec/2025:03:33:28 +0000] "GET /wp-conflg/function.php HTTP/1.1" 404 564 "https://www.yahoo.com/" "Mozilla/5.0 (Linux; Android 13; M2101K6G) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Mobile Safari/537.36"
wl.>45.153.226.147 — — [11/Dec/2025:03:44:38 +0000] "GET / HTTP/1.1" 200 25 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"
wl.>45.93.12.159 — — [11/Dec/2025:03:44:39 +0000] "GET /robots.txt HTTP/1.1" 404 22 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 17_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.0 Mobile/15E148 Safari/604.1"
wl.>31.44.8.142 — — [11/Dec/2025:03:44:46 +0000] "GET / HTTP/1.1" 200 25 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 17_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.0 Mobile/15E148 Safari/604.1"
wl.>212.192.195.164 — — [11/Dec/2025:03:44:46 +0000] "GET / HTTP/1.1" 200 25 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 17_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.0 Mobile/15E148 Safari/604.1"
wl.>212.192.195.164 — — [11/Dec/2025:03:44:46 +0000] "GET /favicon.ico HTTP/1.1" 404 22 "https://mailwl.ru/" "Mozilla/5.0 (iPhone; CPU iPhone OS 17_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.0 Mobile/15E148 Safari/604.1"
wl.>5.187.35.158 — — [11/Dec/2025:03:47:19 +0000] "GET / HTTP/1.1" 404 197 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 Edg/90.0.818.46"
wl.>3.248.248.88 — — [11/Dec/2025:03:47:35 +0000] "GET / HTTP/1.0" 200 25 "-" "Mozilla/5.0 (compatible; NetcraftSurveyAgent/1.0; +info@netcraft.com)"
wl.>167.99.205.249 — — [11/Dec/2025:03:54:07 +0000] "GET /+CSCOL+/Java.jar HTTP/1.1" 404 22 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36"
wl.>167.99.205.249 — — [11/Dec/2025:03:54:08 +0000] "GET /+CSCOE+/logon_forms.js HTTP/1.1" 404 22 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36"
wl.>167.99.205.249 — — [11/Dec/2025:03:54:08 +0000] "GET /+CSCOL+/a1.jar HTTP/1.1" 404 22 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36"
wl.>167.99.205.249 — — [11/Dec/2025:03:54:08 +0000] "GET /+CSCOE+/transfer.js HTTP/1.1" 404 22 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36"
wl.>94.154.35.236 — — [11/Dec/2025:03:56:28 +0000] "HEAD /wp-config.php.rar HTTP/1.1" 301 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36"
wl.>94.154.35.236 — — [11/Dec/2025:03:56:28 +0000] "HEAD /wp-config.php.rar HTTP/1.1" 404 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36"
wl.>193.142.147.209 — — [11/Dec/2025:04:26:26 +0000] "GET /cgi-bin/luci/;stok=/locale HTTP/1.1" 404 162 "-" "-"
wl.>Мне и на 22 порт нон-стоп ломятся, пароли подбирают. а у меня вход по сертификатам

Разнообразные, однако. А когда мне случилос несколько лет назад самому настраивать сервер, я видел в основном LAMP'овые запросы, там php-my-admin и иже с ними. Но я тогда разворачивал ASP.
Re[3]: Взял себе IP адрес
От: wl. Россия  
Дата: 11.12.25 18:17
Оценка:
Здравствуйте, Лазар Бешкенадзе, Вы писали:

ЛБ>

"GET /wp-blog.php HTTP/1.1"

 ЛБ>Это вроде как request line?

да, то что идет после https://aaa.bbb/ <- здесь, get-запрос

ЛБ>

404

 ЛБ>Это твой response?

да, не найдено

ЛБ>

564 "https://www.google.de/"

 ЛБ>Вот это что такое?

это размер ответа (страницы 404.html) и якобы откуда пришли на мой сайт, фальшивый referer
Re: Взял себе IP адрес
От: Gadsky Россия  
Дата: 13.12.25 17:11
Оценка:
Здравствуйте, Лазар Бешкенадзе, Вы писали:

ЛБ>Не успел привязаться к 80 порту как поперли проходимцы. Имя им Легион. Where do they all come from?

ЛБ>-
Отстреливаю айпишники c помощью fail2ban по первому косяку, за месяц:
Name: f2b-nginx-bad-request
Number of entries: 6078

Name: f2b-nginx-bad-request6
Number of entries: 120

И они не прекращаются... лезут и лезут, лезут и лезут...
Re[2]: Взял себе IP адрес
От: Лазар Бешкенадзе СССР  
Дата: 14.12.25 07:07
Оценка:
Здравствуйте, Gadsky, Вы писали:

G>Отстреливаю айпишники c помощью fail2ban по первому косяку

Я подумываю о том чтобы реализовать блокировку по IP адресу. Но только временную — скажем минут на 15.

В этом мире очень много народу сидит на "коммунальных" IP за NAT своего провайдера. Для пользователя это лучше чем адрес в Internet. Собственно еще несколько дней назад я сидел на таком и мне бы не понравилось если бы, к примеру, thefreedictionary.com блокировал адрес моего провайдера потому что какой-то кулхацкер из соседнего с моим подъезда шлет им левые запросы.

-
Re[2]: Взял себе IP адрес
От: Doom100500 Израиль  
Дата: 15.12.25 06:31
Оценка:
Здравствуйте, wl., Вы писали:

wl.>Мне и на 22 порт нон-стоп ломятся, пароли подбирают. а у меня вход по сертификатам

Поменяй порт ещё на рандомный.
Спасибо за внимание
Re[2]: Взял себе IP адрес
От: Лазар Бешкенадзе СССР  
Дата: 18.12.25 05:07
Оценка: :)
Здравствуйте, wl., Вы писали:

wl.>Мне и на 22 порт нон-стоп ломятся, пароли подбирают. а у меня вход по сертификатам

Вчера вечером вывел SSH на внешний порт 22. За 12 часов больше 600 записей в log файле. Мне это не подходит — сейчас переключил на другой порт.

-
Re[3]: Взял себе IP адрес
От: Stanislaw K СССР  
Дата: 18.12.25 08:02
Оценка:
Здравствуйте, Лазар Бешкенадзе, Вы писали:

wl.>>Мне и на 22 порт нон-стоп ломятся, пароли подбирают. а у меня вход по сертификатам

ЛБ>Вчера вечером вывел SSH на внешний порт 22. За 12 часов больше 600 записей в log файле.

50 в час, меньше одной в минуту? пффф!

ЛБ>Мне это не подходит — сейчас переключил на другой порт.

Конечно, тоже метод. но лучше vpn. 
Все проблемы от жадности и глупости
Re[4]: Взял себе IP адрес
От: Лазар Бешкенадзе СССР  
Дата: 18.12.25 09:35
Оценка:
Здравствуйте, Stanislaw K, Вы писали:

ЛБ>>Мне это не подходит — сейчас переключил на другой порт.

SK>Конечно, тоже метод. но лучше vpn.

Будут ломиться в VPN. Какая разница?

-
Re[5]: Взял себе IP адрес
От: Stanislaw K СССР  
Дата: 18.12.25 09:49
Оценка:
Здравствуйте, Лазар Бешкенадзе, Вы писали:

ЛБ>>>Мне это не подходит — сейчас переключил на другой порт.

SK>>Конечно, тоже метод. но лучше vpn.

ЛБ>Будут ломиться в VPN. Какая разница?

В какой из десятков вариантов протоколов? на тысячах возможных портов? с авторизацией по ключам?
В любом случае это дополнительный слой защиты, перед SSH.


Ещё есть позабытый сейчас метод

Port Knocking (с англ. — «стук по портам») — метод аутентификации в вычислительных сетях, при котором удалённый пользователь должен «постучать» в заранее определённую последовательность закрытых портов в нужном порядке. Только после этого ему будет открыт доступ к нужному сервису (например, SSH на 22-м порту).

https://en.wikipedia.org/wiki/Port_knocking 
Все проблемы от жадности и глупости
Re[6]: Взял себе IP адрес
От: Лазар Бешкенадзе СССР  
Дата: 18.12.25 10:33
Оценка:
Здравствуйте, Stanislaw K, Вы писали:

ЛБ>>Будут ломиться в VPN. Какая разница?

SK>В какой из десятков вариантов протоколов? на тысячах возможных портов? с авторизацией по ключам?
SK>В любом случае это дополнительный слой защиты, перед SSH.

Вот все записи с утра когда я переключил на нестандартный порт:

Dec 18 07:54:10 s17 sshd-session[11338]: Connection closed by 192.168.1.71 port 57943
Dec 18 10:31:14 s17 sshd-session[11545]: Accepted publickey for alex from XX.XXX.XXX.63 port 3581 ssh2: ...
Dec 18 10:31:45 s17 sshd-session[11547]: Received disconnect from XX.XXX.XXX.63 port 3581:11: disconnected by user
Dec 18 10:31:45 s17 sshd-session[11547]: Disconnected from user alex XX.XXX.XXX.63 port 3581
Dec 18 13:20:06 s17 sshd-session[11742]: Accepted publickey for sergei from 192.168.1.13 port 64210 ssh2: ...
Dec 18 13:20:21 s17 su[11751]: sergei to root on /dev/pts/0


Меня это устраивает.

-
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.