AWS и Китайские хацкеры

[tessob]

Последние недели 3-4 у меня на всех серверах в Амазоне Nginx логи включают кучу попыток подбора паролей к томкатовским серверам. Хочу понять -- это модная фишка сезона или интерес именно к моей инфраструктуре. Все запросы с Китайских IP. Бо'льшая часть из региона Уйгуров.

По поводу самих серверов я не переживаю. Там есть запланированные бекдоры в никуда.

[M. Ridcully]

Может, вы просто последние недели 3-4 стали в логи заглядывать?

[Flash-04]

Гы! Точно. Запомните раз и навсегда: ваши ресурсы всегда и везде будут проверять на прочность.

[geek7]

Гы! Точно. Запомните раз и навсегда: ваши ресурсы всегда и везде будут проверять на прочность.

AFAIK AWS особо любим т.к. там часто девелопмент с большими шансами на дырку и вообще можно дохакатся до прав скажем на ec2:* и назапускать себе майнеров или там ботов вплоть до лимита.
но TS спрашивал конкретно про китайцев из уйгурской местности... это случайность или действительно тепрь оттуда модно, а не скажем из украины, нигерии итп?

[Flash-04]

Так китайцы всегда держали флаг в этом деле. Российско-украинские и китайские хакеры устойчиво делят первое место последние лет 10 наверное. Причём если первые стараются это делать с американских и европейских хостингов, то китайцы этим не заморачиваются и шарашат напрямую из Китая.

[tessob]

Так китайцы всегда держали флаг в этом деле.

У меня Китай раньше как-то особо не выделялся. Просто в последнее время в автоматическом разборе логов начался большой перекос статистики в сторону адресов из северного Китая.
Запросы со стандартными паролями от различных серверов регулярно приходят вот уже более 20 лет. Отовсюду. Это наверное самое постоянное явление в моей жизни.

[liamkin]

Так китайцы всегда держали флаг в этом деле.

У меня Китай раньше как-то особо не выделялся. Просто в последнее время в автоматическом разборе логов начался большой перекос статистики в сторону адресов из северного Китая.
Запросы со стандартными паролями от различных серверов регулярно приходят вот уже более 20 лет. Отовсюду. Это наверное самое постоянное явление в моей жизни.

А как защищаетесь? Ставите им задержку после неудачной попытки? Я nginx немного знаю, но вот конкретно защитами от взлома не интересовался.

[tessob]

А как защищаетесь? Ставите им задержку после неудачной попытки? Я nginx немного знаю, но вот конкретно защитами от взлома не интересовался.

Защита традиционная -- все порты закрыты, все стандартные пароли изменены. Как ставить задержку для удаленного пользователя я без понятия. Сам nginx никто не ломает, у меня просто за ним кластер и он на него проксирует.

[helg]

Как ставить задержку для удаленного пользователя я без понятия.

Рекомендую fail2ban

[Flash-04]

Кстати да, для SSH самое то.
Если у вас web приложение, то смотрите на предмет попыток эксплоитов уязвимостей. Web приложения - вещь сложная, всегда могут найтись дыры о которых вы не знаете.

[tessob]

Рекомендую fail2ban

У меня весь фронт, на котором сидят юзеры, всегда скалируется горизонтально. Для меня не проблема поднять еще два ведра виртуалок и озадачить ддосеров.

[tessob]

Кстати да, для SSH самое то.
Если у вас web приложение, то смотрите на предмет попыток эксплоитов уязвимостей. Web приложения - вещь сложная, всегда могут найтись дыры о которых вы не знаете.

Что касается SSH, то у меня в его отношении совсем другие поводы для паранойи. У меня SSH обычно только до облака. А внутри облака просто закрытые порты и весь трафик обычно гуляет по проводам в нешифрованном виде. И я понимаю, что, с учетом усложнения инфраструктуры облаков, эксплоит для слушания подобного трафика - это только вопрос времени. Вот с учетом всяких озер данных и прочих хадупов это напрягает.

[Flash-04]

Ну кстати да, инстанс в aws видит другие инстансы через локальную сеть.
Поэтому мне больше нравятся хосиеры типа ovh где интерфейс смотрит наружу без посредников.

[tessob]

Поэтому мне больше нравятся хосиеры типа ovh где интерфейс смотрит наружу без посредников.

Это уже не решение на сегодня. Просто у меня за nginxом же целый зоопарк из баз данных, очередей, брокеров и прочей нечисти. И только самая чувствительная информация хранится за VPN на каком-нибудь дряхлом серваке с непрогнозируемой доступностью в частно-приватном энтерпрайсном интеллектуальном он-премис облаке.

[geek7]

Ну кстати да, инстанс в aws видит другие инстансы через локальную сеть.
Поэтому мне больше нравятся хосиеры типа ovh где интерфейс смотрит наружу без посредников.

если чем-то не нравится ограничивать инстансы их ACL то можно и вообще их распихать по разным подсетям или вообще VPC.
Я видимо непонял в чём предполагаемая проблема - предполагается что есть возможность слушать в подсетке broadcast /multicast ?

[tessob]

Я видимо непонял в чём предполагаемая проблема - предполагается что есть возможность слушать в подсетке broadcast /multicast ?

Посмотрите как выполняется хак ARP протокола с перенаправлением трафика. Я так, например сидя рядом с вами в кафе с бесплатным вай-фаем, могу писать весь ваш nonSSH трафик.

[geek7]

Я видимо непонял в чём предполагаемая проблема - предполагается что есть возможность слушать в подсетке broadcast /multicast ?

Посмотрите как выполняется хак ARP протокола с перенаправлением трафика. Я так, например сидя рядом с вами в кафе с бесплатным вай-фаем, могу писать весь ваш nonSSH трафик.

AWS не физическая сеть, вот что они про свой SDN пишут:

Packet Sniffing Even two virtual instances that are owned by the same customer located on the same physical host cannot listen to each other's traffic. Additionally, attacks such as ARP cache poisoning do not work within Amazon EC2 and Amazon VPC.

[tessob]

AWS не физическая сеть, вот что они про свой SDN пишут...

Так я же написал, что опасаюсь появления такой дырки в будущем. Просто сейчас тенденция в сторону контейнеризации усиливается и вполне возможно, что в одной из следующих контейнерных технологий это окажется вдруг возможно.

[VovaK98]

Ну кстати да, инстанс в aws видит другие инстансы через локальную сеть.

Нет, только если куплен VPC & subnet правильно сконфигурированы.
По умолчанию EC2 instance открыты всем ветрам.

[helg]

Рекомендую fail2ban

У меня весь фронт, на котором сидят юзеры, всегда скалируется горизонтально. Для меня не проблема поднять еще два ведра виртуалок и озадачить ддосеров.

Ваше дело. Но при этом раскрывается факт, что сеть за данным IP сильно масштабирована и позволяет долго заниматься экспериментами. Это делает данный IP более привлекательным для подобных попыток.

[tessob]

Ваше дело. Но при этом раскрывается факт, что сеть за данным IP сильно масштабирована и позволяет долго заниматься экспериментами. Это делает данный IP более привлекательным для подобных попыток.

Нас тоже навещали подобные приступы паранойи, в результате чего мы просто навелосипедили себе систему для анализа логов со статистикой, блекджеком и шлю... Если будет возникать некая тенденция (производная функции сглаживания), то запустится panic-mode и все подписавшиеся получат SNS уведомлялку со ссылкой. Однако, на практике такая уведомлялка приходит раз в 3-4 месяца. Подавляющая масса атак -- это надежда на то, что где-то остались стандартные пароли. На нагрузку это вообще не влияет.