denied winbox/dude connect from

— данное сообщение в логах микротика возникает тогда, когда кто-то пытается получить доступ через WINBOX, но его ip адрес не прописан в сервисе winboxa. Т.е. этот вероятный злоумышленник или робот пытается получить доступ, а доступа нет. С одной стороны не стоит сразу паниковать и думать что Вас ломают, но если лезут значит надо принимать меры ещё на шаг раньше.

После неоднократных взломов Микротика и постоянно образующихся новых дыр в безопасности устройства решил собрать список негодяев пытающихся заломиться через winbox несмотря на то что сервис открыт только для определённых ip адресов. Все эти негодяи попадают в логи с сообщениями

denied winbox/dude connect from

Чтобы достать ip адреса из лога потребуется несложный парсер логов устройства который можно добавить в планировщик с периодическим повторением.
Выполняя скрипт парсер найденный ip адрес будет добавлять IP -> Firewall -> Address-list.
Далее делайте с ним что угодно: хотите баньте правилами фаервола, хотите коллекционируйте, хотите шлите на мыло, вобщем что угодно, я баню на определённое количество часов, дней, лет…

Собственно сам скрипт для сбора айпи Микротиковских ДОДИКОВ(dude connect)

:local ipi
:local mess [/log find message~"denied winbox/dude connect from"]
foreach i in=$mess do={
:set ipi [:pick [/log get $i message ] 32 ([:len [/log get $i message ]])]
if ([/ip firewall address-list find address=$ipi] = "" ) do={
# :log warning $ipi
/ip firewall address-list add address="$ipi" timeout=1d list=Dudiki
}
}
#:log warning "FIN"

Для отладки и проверки можно раскомментировать #:log warning

И ещё может кому пригодится скрипт для очистки лога микротика

/system logging action set memory memory-lines=1;
/system logging action set memory memory-lines=1000;