Форум Тринити

Открытый технический форум по серверам и системам хранения данных, кластерным решениям, SAN, NAS.
Текущее время: 21 окт 2017, 12:39

Часовой пояс: UTC + 3 часа [ Летнее время ]




Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
 Заголовок сообщения: Ломают RDP - что делать ?
СообщениеДобавлено: 12 мар 2012, 18:33 
Не в сети
Advanced member

Зарегистрирован: 03 авг 2009, 21:25
Сообщения: 449
Откуда: Perm
На роутере mikrotik RB750G опубликован сервер 2008r2 на стандартном 3389 порту, с разных адресов безостановочно идут попытки логона.
На сервере опубликованный RDP нужен, можно ли как то тригером на событие неверного логина добавлять IP адрес в бан на микротике ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ломают RDP - что делать ?
СообщениеДобавлено: 20 мар 2012, 13:43 
Не в сети
Сотрудник Тринити
Сотрудник Тринити
Аватара пользователя

Зарегистрирован: 26 дек 2011, 11:49
Сообщения: 46
Откуда: СПб
Цитата:
можно ли как то тригером на событие неверного логина добавлять IP адрес в бан на микротике

Существет несколько способов предпринять действие (например, запустить программу) по событию.

Поблагодарим Гугль за любезно предоставленные примеры описаний того, как это можно сделать:

http://www.monitortools.com/eventlog/
http://www.howtogeek.com/69551/how-to-c ... on-system/

_________________
Кто ясно мыслит - ясно излагает. Протагор.

Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ломают RDP - что делать ?
СообщениеДобавлено: 30 мар 2012, 09:58 
Не в сети
Junior member

Зарегистрирован: 31 янв 2011, 12:19
Сообщения: 15
Откуда: Новосибирск
может веселее было бы сделать разрешенный список адресов. плюс изменение порта на другой?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ломают RDP - что делать ?
СообщениеДобавлено: 30 мар 2012, 11:08 
Не в сети
Сотрудник Тринити
Сотрудник Тринити
Аватара пользователя

Зарегистрирован: 26 дек 2011, 11:49
Сообщения: 46
Откуда: СПб
bahtey писал(а):
может веселее было бы сделать разрешенный список адресов. плюс изменение порта на другой?

Совет был бы верным, если бы вопрос был: Как защитить мой сервер от многочисленных попыток входа?
Возможно, на самом деле задача в этом и состоит, но, автор-то говорит другое.

_________________
Кто ясно мыслит - ясно излагает. Протагор.

Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ломают RDP - что делать ?
СообщениеДобавлено: 30 мар 2012, 18:39 
Не в сети
Advanced member

Зарегистрирован: 03 авг 2009, 21:25
Сообщения: 449
Откуда: Perm
На маршрутизаторе я могу только банить IP если слишком часто идут соединения, но я не знаю кто это подключается, может легитимный пользователь. А windows server знает что подбирают пароль и записывает это с лог и может запустить скрипт по этому событию, вопрос как из скрипта получить IP адрес с которого ломятся, чтобы по ssh добавить его в бан лист микротика.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ломают RDP - что делать ?
СообщениеДобавлено: 30 мар 2012, 23:37 
Не в сети
Сотрудник Тринити
Сотрудник Тринити
Аватара пользователя

Зарегистрирован: 26 дек 2011, 11:49
Сообщения: 46
Откуда: СПб
Цитата:
можно ли как то тригером на событие неверного логина добавлять IP адрес в бан на микротике ?

Цитата:
вопрос как из скрипта получить IP адрес с которого ломятся

Вопрос кардинально поменялся в поцессе обсуждения.
Рекомендую к прочтению мое любимое руководство Эрика Реймонда и Рика Моэна "Как правильно задавать вопросы", http://segfault.kiev.ua/smart-questions-ru.html

_________________
Кто ясно мыслит - ясно излагает. Протагор.

Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ломают RDP - что делать ?
СообщениеДобавлено: 01 апр 2012, 01:35 
Не в сети
Advanced member

Зарегистрирован: 03 авг 2009, 21:25
Сообщения: 449
Откуда: Perm
Вопрос был: На сервере опубликованный RDP нужен, можно ли как то тригером на событие неверного логина добавлять IP адрес в бан на микротике ?
Я за это время осознал:
1) я могу из командной строки через ssh добавлять IP адреса с бан-лист на микротик
2) я могу запустить cmd по событию "неверный пароль"

Остался вопрос как это объединить ?

По моему вопрос совершенно не менялся :(


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ломают RDP - что делать ?
СообщениеДобавлено: 01 апр 2012, 01:37 
Не в сети
Advanced member

Зарегистрирован: 03 авг 2009, 21:25
Сообщения: 449
Откуда: Perm
rlevitsky писал(а):
Цитата:
можно ли как то тригером на событие неверного логина добавлять IP адрес в бан на микротике ?

Рекомендую к прочтению мое любимое руководство

Это Вы к тому что я выбрал не правильный форум ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ломают RDP - что делать ?
СообщениеДобавлено: 02 апр 2012, 10:41 
Не в сети
Сотрудник Тринити
Сотрудник Тринити
Аватара пользователя

Зарегистрирован: 26 дек 2011, 11:49
Сообщения: 46
Откуда: СПб
dim-soft писал(а):
1) я могу из командной строки через ssh добавлять IP адреса с бан-лист на микротик
2) я могу запустить cmd по событию "неверный пароль"

Остался вопрос как это объединить ?(


Что мешает написать bat-файл, который будет делать п.1, запускаясь в случае п.2?

_________________
Кто ясно мыслит - ясно излагает. Протагор.

Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ломают RDP - что делать ?
СообщениеДобавлено: 02 апр 2012, 20:58 
Не в сети
Advanced member

Зарегистрирован: 03 авг 2009, 21:25
Сообщения: 449
Откуда: Perm
rlevitsky писал(а):
dim-soft писал(а):
1) я могу из командной строки через ssh добавлять IP адреса с бан-лист на микротик
2) я могу запустить cmd по событию "неверный пароль"

Остался вопрос как это объединить ?(


Что мешает написать bat-файл, который будет делать п.1, запускаясь в случае п.2?


как получить IP адрес из события ? через "батник"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ломают RDP - что делать ?
СообщениеДобавлено: 03 апр 2012, 11:18 
Не в сети
Сотрудник Тринити
Сотрудник Тринити
Аватара пользователя

Зарегистрирован: 26 дек 2011, 11:49
Сообщения: 46
Откуда: СПб
dim-soft писал(а):
как получить IP адрес из события ? через "батник"


На сайте производителя в описании утилит командной строки есть средства для работы с журналом событий:
http://www.microsoft.com/resources/docu ... x?mfr=true

_________________
Кто ясно мыслит - ясно излагает. Протагор.

Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ломают RDP - что делать ?
СообщениеДобавлено: 03 апр 2012, 13:12 
Не в сети
Advanced member

Зарегистрирован: 03 авг 2009, 21:25
Сообщения: 449
Откуда: Perm
весь журнал "отпарсить" я могу,в том числе на PS но это не вариант, т.к очень долго и сервер задумывается крепко.
хочется именно получать IP при вызове скрипта.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Ломают RDP - что делать ?
СообщениеДобавлено: 03 апр 2012, 16:46 
Не в сети
Сотрудник Тринити
Сотрудник Тринити
Аватара пользователя

Зарегистрирован: 26 дек 2011, 11:49
Сообщения: 46
Откуда: СПб
dim-soft писал(а):
весь журнал "отпарсить" я могу,в том числе на PS но это не вариант, т.к очень долго и сервер задумывается крепко.
хочется именно получать IP при вызове скрипта.

Какой смысл каждый раз смотреть весь журнал?
Смотрите последние пять минут (или столько, сколько проходит между запусками скрипта).

_________________
Кто ясно мыслит - ясно излагает. Протагор.

Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 3 часа [ Летнее время ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB