Ботнет 92.63.194.0/24 GRE

Имея внешние ip адреса логах микротика периодически кто-то ломится. То в winbox, но он закрыт из вне, то в VPN. Сейчас капитально присосался какой-то ботнет с подсети 92.63.194.0/24

Что он делает?

Ломится подбирая нелепые логины, ну и ладно бы, но залипли установленные соединения и удалить их нельзя -они восстанавливаются.

Вот зараза !
92.63.194.155
92.63.194.158
92.63.194.156
92.63.194.40
92.63.194.91
92.63.194.35
92.63.194.69
92.63.194.41
92.63.194.155
92.63.194.93
92.63.194.92
92.63.194.159
92.63.194.157

Что делать?

Сперва добавлять нижеприведённые правила и шиться последней прошивкой.

/ip firewall raw
add action=drop chain=prerouting src-address-list=Botlist
/ip firewall address-list
add address=92.63.194.0/24 list=Botlist

Теперь осталось только ждать новых и добавлять их в Botlist

На накенец-то дошли руки до того чтобы посмотреть зачем хакерам доступ к терминалу SSH и Telnet.
Запускаем на серваке ФЭЙКОВЫЙ терминал cowrie, даём кулхакеру подобрать пароль напимер admin и пароль Qwerty!
Ржом!
Большинство уродБотНетов делают одно и тоже.
Входят,
62.93.166.91] login attempt [b'nproc'/b'nproc'] succeeded

Узнают тип процессора
62.93.166.91] executing command «b'cat /proc/cpuinfo | grep name | wc -l'»
62.93.166.91] Command found: cat /proc/cpuinfo
ну и уходят.

Но попался наконец-то кулхацкер… айпишник этого говноря 58.240.92.50! Ещё и китайский конечно же.

Читать дальше