AWS и Китайские хацкеры

tessob
Уже с Приветом
Posts: 549
Joined: 07 Jan 2016 13:04

AWS и Китайские хацкеры

Post by tessob »

Последние недели 3-4 у меня на всех серверах в Амазоне Nginx логи включают кучу попыток подбора паролей к томкатовским серверам. Хочу понять -- это модная фишка сезона или интерес именно к моей инфраструктуре. Все запросы с Китайских IP. Бо'льшая часть из региона Уйгуров.

По поводу самих серверов я не переживаю. Там есть запланированные бекдоры в никуда.
User avatar
M. Ridcully
Уже с Приветом
Posts: 12017
Joined: 08 Sep 2006 20:07
Location: Силиконка

Re: AWS и Китайские хацкеры

Post by M. Ridcully »

Может, вы просто последние недели 3-4 стали в логи заглядывать? :D
Мир Украине. Свободу России.
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: AWS и Китайские хацкеры

Post by Flash-04 »

Гы! Точно. Запомните раз и навсегда: ваши ресурсы всегда и везде будут проверять на прочность.
Not everyone believes what I believe but my beliefs do not require them to.
User avatar
geek7
Уже с Приветом
Posts: 20297
Joined: 01 Dec 2003 23:16
Location: Russia->USA

Re: AWS и Китайские хацкеры

Post by geek7 »

Flash-04 wrote: 27 Oct 2019 04:01 Гы! Точно. Запомните раз и навсегда: ваши ресурсы всегда и везде будут проверять на прочность.
AFAIK AWS особо любим т.к. там часто девелопмент с большими шансами на дырку и вообще можно дохакатся до прав скажем на ec2:* и назапускать себе майнеров или там ботов вплоть до лимита.
но TS спрашивал конкретно про китайцев из уйгурской местности... это случайность или действительно тепрь оттуда модно, а не скажем из украины, нигерии итп?
Говори что думаешь, думай что говоришь!
Маразм крепчал и скрепы гнулись
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: AWS и Китайские хацкеры

Post by Flash-04 »

Так китайцы всегда держали флаг в этом деле. Российско-украинские и китайские хакеры устойчиво делят первое место последние лет 10 наверное. Причём если первые стараются это делать с американских и европейских хостингов, то китайцы этим не заморачиваются и шарашат напрямую из Китая.
Not everyone believes what I believe but my beliefs do not require them to.
tessob
Уже с Приветом
Posts: 549
Joined: 07 Jan 2016 13:04

Re: AWS и Китайские хацкеры

Post by tessob »

Flash-04 wrote: 27 Oct 2019 14:36Так китайцы всегда держали флаг в этом деле.
У меня Китай раньше как-то особо не выделялся. Просто в последнее время в автоматическом разборе логов начался большой перекос статистики в сторону адресов из северного Китая.
Запросы со стандартными паролями от различных серверов регулярно приходят вот уже более 20 лет. Отовсюду. Это наверное самое постоянное явление в моей жизни.
User avatar
liamkin
Уже с Приветом
Posts: 2603
Joined: 19 Jun 2003 20:22
Location: USA

Re: AWS и Китайские хацкеры

Post by liamkin »

tessob wrote: 27 Oct 2019 15:05
Flash-04 wrote: 27 Oct 2019 14:36Так китайцы всегда держали флаг в этом деле.
У меня Китай раньше как-то особо не выделялся. Просто в последнее время в автоматическом разборе логов начался большой перекос статистики в сторону адресов из северного Китая.
Запросы со стандартными паролями от различных серверов регулярно приходят вот уже более 20 лет. Отовсюду. Это наверное самое постоянное явление в моей жизни.
А как защищаетесь? Ставите им задержку после неудачной попытки? Я nginx немного знаю, но вот конкретно защитами от взлома не интересовался.
tessob
Уже с Приветом
Posts: 549
Joined: 07 Jan 2016 13:04

Re: AWS и Китайские хацкеры

Post by tessob »

liamkin wrote: 28 Oct 2019 14:54А как защищаетесь? Ставите им задержку после неудачной попытки? Я nginx немного знаю, но вот конкретно защитами от взлома не интересовался.
Защита традиционная -- все порты закрыты, все стандартные пароли изменены. Как ставить задержку для удаленного пользователя я без понятия. Сам nginx никто не ломает, у меня просто за ним кластер и он на него проксирует.
helg
Уже с Приветом
Posts: 4827
Joined: 15 May 2001 09:01

Re: AWS и Китайские хацкеры

Post by helg »

tessob wrote: 28 Oct 2019 16:31Как ставить задержку для удаленного пользователя я без понятия.
Рекомендую fail2ban
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: AWS и Китайские хацкеры

Post by Flash-04 »

Кстати да, для SSH самое то.
Если у вас web приложение, то смотрите на предмет попыток эксплоитов уязвимостей. Web приложения - вещь сложная, всегда могут найтись дыры о которых вы не знаете.
Not everyone believes what I believe but my beliefs do not require them to.
tessob
Уже с Приветом
Posts: 549
Joined: 07 Jan 2016 13:04

Re: AWS и Китайские хацкеры

Post by tessob »

helg wrote: 28 Oct 2019 17:17Рекомендую fail2ban
У меня весь фронт, на котором сидят юзеры, всегда скалируется горизонтально. Для меня не проблема поднять еще два ведра виртуалок и озадачить ддосеров.
tessob
Уже с Приветом
Posts: 549
Joined: 07 Jan 2016 13:04

Re: AWS и Китайские хацкеры

Post by tessob »

Flash-04 wrote: 28 Oct 2019 17:21 Кстати да, для SSH самое то.
Если у вас web приложение, то смотрите на предмет попыток эксплоитов уязвимостей. Web приложения - вещь сложная, всегда могут найтись дыры о которых вы не знаете.
Что касается SSH, то у меня в его отношении совсем другие поводы для паранойи. У меня SSH обычно только до облака. А внутри облака просто закрытые порты и весь трафик обычно гуляет по проводам в нешифрованном виде. И я понимаю, что, с учетом усложнения инфраструктуры облаков, эксплоит для слушания подобного трафика - это только вопрос времени. Вот с учетом всяких озер данных и прочих хадупов это напрягает.
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: AWS и Китайские хацкеры

Post by Flash-04 »

Ну кстати да, инстанс в aws видит другие инстансы через локальную сеть.
Поэтому мне больше нравятся хосиеры типа ovh где интерфейс смотрит наружу без посредников.
Not everyone believes what I believe but my beliefs do not require them to.
tessob
Уже с Приветом
Posts: 549
Joined: 07 Jan 2016 13:04

Re: AWS и Китайские хацкеры

Post by tessob »

Flash-04 wrote: 28 Oct 2019 17:45Поэтому мне больше нравятся хосиеры типа ovh где интерфейс смотрит наружу без посредников.
Это уже не решение на сегодня. Просто у меня за nginxом же целый зоопарк из баз данных, очередей, брокеров и прочей нечисти. И только самая чувствительная информация хранится за VPN на каком-нибудь дряхлом серваке с непрогнозируемой доступностью в частно-приватном энтерпрайсном интеллектуальном он-премис облаке.
User avatar
geek7
Уже с Приветом
Posts: 20297
Joined: 01 Dec 2003 23:16
Location: Russia->USA

Re: AWS и Китайские хацкеры

Post by geek7 »

Flash-04 wrote: 28 Oct 2019 17:45 Ну кстати да, инстанс в aws видит другие инстансы через локальную сеть.
Поэтому мне больше нравятся хосиеры типа ovh где интерфейс смотрит наружу без посредников.
если чем-то не нравится ограничивать инстансы их ACL то можно и вообще их распихать по разным подсетям или вообще VPC.
Я видимо непонял в чём предполагаемая проблема - предполагается что есть возможность слушать в подсетке broadcast /multicast ?
Говори что думаешь, думай что говоришь!
Маразм крепчал и скрепы гнулись
tessob
Уже с Приветом
Posts: 549
Joined: 07 Jan 2016 13:04

Re: AWS и Китайские хацкеры

Post by tessob »

geek7 wrote: 28 Oct 2019 19:47Я видимо непонял в чём предполагаемая проблема - предполагается что есть возможность слушать в подсетке broadcast /multicast ?
Посмотрите как выполняется хак ARP протокола с перенаправлением трафика. Я так, например сидя рядом с вами в кафе с бесплатным вай-фаем, могу писать весь ваш nonSSH трафик.
User avatar
geek7
Уже с Приветом
Posts: 20297
Joined: 01 Dec 2003 23:16
Location: Russia->USA

Re: AWS и Китайские хацкеры

Post by geek7 »

tessob wrote: 28 Oct 2019 20:01
geek7 wrote: 28 Oct 2019 19:47Я видимо непонял в чём предполагаемая проблема - предполагается что есть возможность слушать в подсетке broadcast /multicast ?
Посмотрите как выполняется хак ARP протокола с перенаправлением трафика. Я так, например сидя рядом с вами в кафе с бесплатным вай-фаем, могу писать весь ваш nonSSH трафик.
AWS не физическая сеть, вот что они про свой SDN пишут:
Packet Sniffing Even two virtual instances that are owned by the same customer located on the same physical host cannot listen to each other's traffic. Additionally, attacks such as ARP cache poisoning do not work within Amazon EC2 and Amazon VPC.
Говори что думаешь, думай что говоришь!
Маразм крепчал и скрепы гнулись
tessob
Уже с Приветом
Posts: 549
Joined: 07 Jan 2016 13:04

Re: AWS и Китайские хацкеры

Post by tessob »

geek7 wrote: 28 Oct 2019 20:52AWS не физическая сеть, вот что они про свой SDN пишут...
Так я же написал, что опасаюсь появления такой дырки в будущем. Просто сейчас тенденция в сторону контейнеризации усиливается и вполне возможно, что в одной из следующих контейнерных технологий это окажется вдруг возможно.
User avatar
VovaK98
Уже с Приветом
Posts: 1830
Joined: 04 Mar 2002 10:01
Location: Tampa

Re: AWS и Китайские хацкеры

Post by VovaK98 »

Flash-04 wrote: 28 Oct 2019 17:45 Ну кстати да, инстанс в aws видит другие инстансы через локальную сеть.
Нет, только если куплен VPC & subnet правильно сконфигурированы.
По умолчанию EC2 instance открыты всем ветрам.
Несите чушь бережно, стараясь не расплескать. Чушь хороша, когда она полная.
helg
Уже с Приветом
Posts: 4827
Joined: 15 May 2001 09:01

Re: AWS и Китайские хацкеры

Post by helg »

tessob wrote: 28 Oct 2019 17:23
helg wrote: 28 Oct 2019 17:17Рекомендую fail2ban
У меня весь фронт, на котором сидят юзеры, всегда скалируется горизонтально. Для меня не проблема поднять еще два ведра виртуалок и озадачить ддосеров.
Ваше дело. Но при этом раскрывается факт, что сеть за данным IP сильно масштабирована и позволяет долго заниматься экспериментами. Это делает данный IP более привлекательным для подобных попыток.
tessob
Уже с Приветом
Posts: 549
Joined: 07 Jan 2016 13:04

Re: AWS и Китайские хацкеры

Post by tessob »

helg wrote: 29 Oct 2019 22:24Ваше дело. Но при этом раскрывается факт, что сеть за данным IP сильно масштабирована и позволяет долго заниматься экспериментами. Это делает данный IP более привлекательным для подобных попыток.
Нас тоже навещали подобные приступы паранойи, в результате чего мы просто навелосипедили себе систему для анализа логов со статистикой, блекджеком и шлю... Если будет возникать некая тенденция (производная функции сглаживания), то запустится panic-mode и все подписавшиеся получат SNS уведомлялку со ссылкой. Однако, на практике такая уведомлялка приходит раз в 3-4 месяца. Подавляющая масса атак -- это надежда на то, что где-то остались стандартные пароли. На нагрузку это вообще не влияет.

Return to “Вопросы и новости IT”