Турки атакуют. Расчехляем iptables
Регулярно просматриваю логи Nginx и вижу одну и ту же картину — атаку украинских спамеров. Самое интересное, что 99% спама идет через одного провайдера — Киевстар. Гнилой провайдер, раз не смотрит за тем, чем именно занимаются его клиенты. Но ничего страшного, iptables киевстаровкие подсетки уже знает как родные. Но сейчас разговор не об этом.
Захожу я сегодня утром и вижу, что картина впервые за много лет принципиально изменилась. Где спамеры с Украины? Они сошли со сцены, а в топ вышли... турецкие каккеры. Именно каккеры, так как в отличии от украинцев, которые пытаются оставить комментарии с говноссылками и не проходят спамфильтр, турецкие хацкеры выполняют только одно простое действие — брутфорсят админский пароль к сайту. Я давным давно поставил защиту и после 5 неудачных попыток IP банится. Но турок это не останавливает. Они используют просто огромное количество новых IP-адресов. Все одного провайдера — TurkTelekom. Тысячи адресов. Примеры: 78.185.128.0/17, 85.102.0.0/17, 88.235.128.0/17 и так далее. Целая армия турецких куль-хацкеров перебирает пароли. Заметьте, с домашних компов. Даже не пытаются использовать VPN, Proxy или Tor.
Что это может означать? Да очевидно же: тамошние поцреоты наслушались местного фюрера и отправились в киберпространство демонстрировать величие Турции. Тупо брутфорсят сайты в .RU, надеясь найти слабые пароли: кюшай турецкий памидёр, а то твоя сайт в трубу шатать!
Что делать нам? Если вы не хотите, чтобы величие Турции было продемонстрировано конкретно на вашем сайте, то имеет смысл превентивно натравить iptables на все подсетки TurkTelekom. Напоминаю, делается это в Ubuntu/Debian так:
iptables -I INPUT -s 78.185.128.0/17 -j REJECT
iptables -I INPUT -s 85.102.0.0/17 -j REJECT
iptables -I INPUT -s 88.235.128.0/17 -j REJECT
...
service netfilter-persistent save
Подсетей довольно много и полный список можете найти в своем access.log.
Защити родные киберпросторы Руси-матушки! Натяни гандон iptables на армию турецкого киберагрессора!
брутфорсят не домашние кулцхаккеры, а трояны, которые установлены на вендовых ведроидных устройствах
А что можете сказать насчёт nftables (как замена iptables)? Годная вещь?
а зачем- эта альтернатива, когда есть проверенная вещь!?:)
"Примеры: 78.185.128.0/17, 85.102.0.0/17, 88.235.128.0/17 и так далее...
...
"Подсетей довольно много и полный список можете найти в своем access.log."
Все эти подсети принадлежат одной и той же автономной системе AS9121 (TurkTelecom), так что по ней можно легко дёрнуть полный список (если очень надо):
bgp.he.net/AS9121#_prefixes