Pagina 1 di 2

Attacco tramite ssh

Inviato: dom 6 ago 2006, 10:55
da manublade
Ciao ragazzi, fortunatamanete ho il file /var/log/messages che mi scorre sempre su desktop e così ho potuto notare i seguenti messaggi.

Did not receive identification string from 80.51.250.106
Aug 6 10:43:27 manublade sshd[4494]: Failed password for root from 80.51.250.106 port 46238 ssh2
Aug 6 10:43:28 manublade sshd[4499]: Invalid user sifak from 80.51.250.106
Aug 6 10:43:28 manublade sshd[4499]: Failed password for invalid user sifak from 80.51.250.106 port 46281 ssh2
Aug 6 10:43:29 manublade sshd[4503]: Invalid user slasher from 80.51.250.106
Aug 6 10:43:29 manublade sshd[4503]: Failed password for invalid user slasher from 80.51.250.106 port 46297 ssh2
Aug 6 10:43:30 manublade sshd[4507]: Invalid user fluffy from 80.51.250.106
Aug 6 10:43:30 manublade sshd[4507]: Failed password for invalid user fluffy from 80.51.250.106 port 46308 ssh2
Aug 6 10:43:31 manublade sshd[4511]: Invalid user admin from 80.51.250.106
Aug 6 10:43:31 manublade sshd[4511]: Failed password for invalid user admin from 80.51.250.106 port 46315 ssh2
...omissis
Aug 6 10:44:11 manublade sshd[4667]: Failed password for root from 80.51.250.106 port 46752 ssh2
Aug 6 10:44:12 manublade sshd[4671]: Invalid user admin from 80.51.250.106
Aug 6 10:44:12 manublade sshd[4671]: Failed password for invalid user admin from 80.51.250.106 port 46763 ssh2
Aug 6 10:44:13 manublade sshd[4675]: Invalid user admin from 80.51.250.106
Aug 6 10:44:13 manublade sshd[4675]: Failed password for invalid user admin from 80.51.250.106 port 46777 ssh2

...omissis
Aug 6 10:45:55 manublade sshd[5051]: Invalid user add from 80.51.250.106
Aug 6 10:45:55 manublade sshd[5051]: Failed password for invalid user add from 80.51.250.106 port 47888 ssh2
Aug 6 10:45:56 manublade sshd[5055]: Invalid user michael from 80.51.250.106
Aug 6 10:45:56 manublade sshd[5055]: Failed password for invalid user michael from 80.51.250.106 port 47897 ssh2
Aug 6 10:45:57 manublade sshd[5059]: Invalid user adrian from 80.51.250.106
Aug 6 10:45:57 manublade sshd[5059]: Failed password for invalid user adrian from 80.51.250.106 port 47907 ssh2
Aug 6 10:45:58 manublade sshd[5064]: Invalid user Ionut from 80.51.250.106
Aug 6 10:45:58 manublade sshd[5064]: Failed password for invalid user Ionut from 80.51.250.106 port 47915 ssh2
Aug 6 10:45:59 manublade sshd[5068]: Invalid user telnet from 80.51.250.106
Aug 6 10:45:59 manublade sshd[5068]: Failed password for invalid user telnet from 80.51.250.106 port 47923 ssh2
Aug 6 10:46:00 manublade sshd[5072]: Invalid user irc from 80.51.250.106
Aug 6 10:46:00 manublade sshd[5072]: Failed password for invalid user irc from 80.51.250.106 port 47937 ssh2
Aug 6 10:46:01 manublade sshd[5076]: Invalid user bnc from 80.51.250.106
Aug 6 10:46:02 manublade sshd[5076]: Failed password for invalid user bnc from 80.51.250.106 port 47945 ssh2
Aug 6 10:46:03 manublade sshd[5080]: Invalid user psybnc from 80.51.250.106
Aug 6 10:46:03 manublade sshd[5080]: Failed password for invalid user psybnc from 80.51.250.106 port 47954 ssh2
Aug 6 10:46:04 manublade sshd[5084]: Invalid user is from 80.51.250.106
Aug 6 10:46:04 manublade sshd[5084]: Failed password for invalid user is from 80.51.250.106 port 47961 ssh2
Aug 6 10:46:05 manublade sshd[5088]: Invalid user Exit from 80.51.250.106
Aug 6 10:46:05 manublade sshd[5088]: Failed password for invalid user Exit from 80.51.250.106 port 47971 ssh2

...omissis
Aug 6 10:47:37 manublade sshd[5525]: Invalid user work from 80.51.250.106
Aug 6 10:47:37 manublade sshd[5525]: Failed password for invalid user work from 80.51.250.106 port 48823 ssh2
Aug 6 10:47:39 manublade sshd[5530]: Invalid user pico from 80.51.250.106
Aug 6 10:47:39 manublade sshd[5530]: Failed password for invalid user pico from 80.51.250.106 port 48829


Appena notati ho immediatamente chiuso il server ssh. Oltre che a tenerlo spento, c'è un modo per difendersi da questo tipo di attacchi? Anche se so bene che individuare un nome utente ed una password non è sempre facile vorrei evitare attacchi del genere in futuro.
Il mio pc è collegato tramite modem Lynksys wag54gs.
Grazie

Inviato: dom 6 ago 2006, 11:13
da airex
potresti per prima cosa "spostare" il server ssh in modo che ascolti su una porta che non sia la 22, magari lo metti su una sopra la 1024.

Potresti anche mettere delle regole di iptables che diano la possibilità di contattare la porta da te scelta solo da determinati IP.

In ogni caso disabiliterei, se non l'hai già fatto, la possibilità di connettersi via ssh direttamente come root.

Inviato: dom 6 ago 2006, 11:40
da albatros
Se dai

Codice: Seleziona tutto

whois 80.51.250.106
ottieni una serie di indirizzi e-mail dell'ISP polacco da cui è provenuto l'attacco (almeno nell'ultimo tratto) a cui puoi segnalare l'accaduto.
Io lo farei...
Se non puoi, per vari motivi, selezionare gli ip da cui consentire le connessioni, puoi provare la tecnica del port knocking...
La raccomandazione di scegliere e imporre agli utenti password robuste è scontata...

Comunque l'attacco pare fatto da un tool automatico non molto pericoloso...

Inviato: dom 6 ago 2006, 13:54
da manublade
Ok, vedrò di fare quello che dite.

Inviato: dom 6 ago 2006, 16:17
da kobaiachi
disabilita l'accesso con password ed abilita l'accesso con chiave rsa. accetta solo connessioni con protocollo ssh 2, disabilita l'accesso come root attraverso ssh .

Re: Attacco tramite ssh

Inviato: lun 7 ago 2006, 19:15
da darkside04
manublade ha scritto:Ciao ragazzi, fortunatamanete ho il file /var/log/messages che mi scorre sempre su desktop e così ho potuto notare i seguenti messaggi.
Grazie
cosa usi per far scorrere il file /var/log/messages sol desktop????

Inviato: lun 7 ago 2006, 22:36
da jacobbe
Tranquillo su ogni macchina che ho gestito ne ho trovati centinaia di questi banali attacchi basati su dizionario...
Sono innoqui a meno che non hai un utente di nome paolo con password rossi :D

Re: Attacco tramite ssh

Inviato: ven 11 ago 2006, 15:28
da IceSlack
darkside_04 ha scritto:
manublade ha scritto:Ciao ragazzi, fortunatamanete ho il file /var/log/messages che mi scorre sempre su desktop e così ho potuto notare i seguenti messaggi.
Grazie
cosa usi per far scorrere il file /var/log/messages sol desktop????
lo vorrei sapere anche io visto che e' da 1 vita che cerco quacosa cosi'

emm non si puo' impostare che dopo 3 login falliti non ti fa piu' ritentare per 1 ora?da quaell'ip

Re: Attacco tramite ssh

Inviato: mer 16 ago 2006, 2:13
da darkside04
darkside_04 ha scritto:
manublade ha scritto:Ciao ragazzi, fortunatamanete ho il file /var/log/messages che mi scorre sempre su desktop e così ho potuto notare i seguenti messaggi.
Grazie
cosa usi per far scorrere il file /var/log/messages sol desktop????

Manublade se non ti spiace puoi darmi/darci info sul progamma usato per far scorrere il file /var/log/messages su desktop sarei molto interessato:?: :?:

Thank's

Inviato: mer 16 ago 2006, 10:18
da Firetux

Inviato: mer 16 ago 2006, 15:03
da Heidegger
Scusate l'ignoranza, ma per far scorrere in maniera semplice, pulita (alla Slackware per intenderci!!) i log, non va bene aprire e lasciare senza bordi una piccola shell a lato dello schermo e dare un bel
tail -f /var/log/messages
???
Per me va più che bene senza starsi a complicare la vita con vari programmini.
Poi non so se voi intendevate un qualche cosa di diverso per "scorrere" i messaggi
Così è comodo perchè è in real-time
Un saluto,
Heidegger

Inviato: mer 16 ago 2006, 15:12
da Firetux
il problema penso è che non si hanno i permessi sul file del log, e solo root può farlo

Inviato: mer 16 ago 2006, 15:28
da napoleone1981
il problema penso è che non si hanno i permessi sul file del log, e solo root può farlo
Ma anche con un programma apposito solo root puo farlo... Non è che con un prog cambiano i permessi del file... O forse ho capito male quello che intendevi???

Inviato: mer 16 ago 2006, 15:37
da Heidegger
Va bene la sicurezza, ma basta con le p***e mentali!
Tenere una sessione root aperta per scorrere il file messages non mi pare così
"tragica" come faccenda.
Oppure basta dare i diritti di lettura con un bel chmod all'utente e via.
Un saluto

Inviato: gio 17 ago 2006, 9:01
da nowhere
http://www.goof.com/pcg/marc/root-tail.html

io lo uso e va benone.
Si può ovviamente fare anche da shell con tail.
Ciao