Pagina 1 di 2

Qualcuno sta tentando di accedere alla mia Slackware!

Inviato: sab 15 set 2007, 23:56
da anycolouryoulike
Grazie a Conky ho appena visto dal /var/log/messages che qualcuno sta tentando di accedere al mio sistema via SSH! :shock:

Codice: Seleziona tutto

Sep 15 23:45:00 darkstar sshd[19718]: Did not receive identification string from 121.117.161.47
Sep 15 23:47:16 darkstar sshd[20721]: Failed password for root from 121.117.161.47 port 49903 ssh2
Sep 15 23:47:20 darkstar sshd[20756]: Failed password for root from 121.117.161.47 port 50002 ssh2
Sep 15 23:47:26 darkstar sshd[20786]: Invalid user apple from 121.117.161.47
Sep 15 23:47:26 darkstar sshd[20786]: Failed password for invalid user apple from 121.117.161.47 port 50081 ssh2
Sep 15 23:47:30 darkstar sshd[20825]: Failed password for root from 121.117.161.47 port 50169 ssh2
Sep 15 23:47:33 darkstar sshd[20908]: Invalid user brian from 121.117.161.47
Sep 15 23:47:33 darkstar sshd[20908]: Failed password for invalid user brian from 121.117.161.47 port 50223 ssh2
Sep 15 23:47:37 darkstar sshd[20931]: Failed password for root from 121.117.161.47 port 50283 ssh2
Sep 15 23:47:45 darkstar sshd[20958]: Invalid user andrew from 121.117.161.47
Sep 15 23:47:45 darkstar sshd[20958]: Failed password for invalid user andrew from 121.117.161.47 port 50348 ssh2
Sep 15 23:47:49 darkstar sshd[21013]: Failed password for root from 121.117.161.47 port 50451 ssh2
Sep 15 23:47:52 darkstar sshd[21040]: Invalid user newsroom from 121.117.161.47
Sep 15 23:47:52 darkstar sshd[21040]: Failed password for invalid user newsroom from 121.117.161.47 port 50515 ssh2
Sep 15 23:47:56 darkstar sshd[21065]: Failed password for root from 121.117.161.47 port 50568 ssh2
Sep 15 23:48:11 darkstar sshd[21086]: Invalid user magazine from 121.117.161.47
Sep 15 23:48:11 darkstar sshd[21086]: Failed password for invalid user magazine from 121.117.161.47 port 50624 ssh2
Cosa devo fare? Devo preoccuparmi?

Inviato: dom 16 set 2007, 0:33
da lamarozzo
whois mi ha dato

Codice: Seleziona tutto

netnum: 121.112.0.0 - 121.119.255.255 
netname: OCN 
descr: NTT Communications Corporation 
descr: 1-6 Uchisaiwai-cho 1-chome Chiyoda-ku, Tokyo 100-8019 Japan 
country: JP 
admin-c: JNIC1-AP 
tech-c: JNIC1-AP 
status: ALLOCATED PORTABLE 
remarks: Email address for spam or abuse complaints :abuse@ocn.ad.jp 
mnt-by: MAINT-JPNIC 
mnt-lower: MAINT-JPNIC 
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
remarks: This object can only be updated by APNIC hostmasters. 
remarks: To update this object, please contact APNIC 
remarks: hostmasters and include your organisation's account 
remarks: name in the subject line. 
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
changed: hm-changed@apnic.net 20060707 
source: APNIC 
 
role: Japan Network Information Center 
address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda 
address: Chiyoda-ku, Tokyo 101-0047, Japan 
country: JP 
phone: +81-3-5297-2311 
fax-no: +81-3-5297-2312 
e-mail: hostmaster@nic.ad.jp 
admin-c: JI13-AP 
tech-c: JE53-AP 
nic-hdl: JNIC1-AP 
mnt-by: MAINT-JPNIC 
changed: hm-changed@apnic.net 20041222 
changed: hm-changed@apnic.net 20050324 
changed: ip-apnic@nic.ad.jp 20051027 
source: APNIC 
 
inetnum: 121.112.0.0 - 121.119.170.255 
netname: PLALA 
descr: Plala Networks Inc. 
country: JP 
admin-c: SA3783JP 
tech-c: SA3783JP 
remarks: This information has been partially mirrored by APNIC from 
remarks: JPNIC. To obtain more specific information, please use the 
remarks: JPNIC WHOIS Gateway at 
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or 
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client 
remarks: defaults to Japanese output, use the /e switch for English 
remarks: output) 
changed: apnic-ftp@nic.ad.jp 20060725 
changed: apnic-ftp@nic.ad.jp 20061023 
source: JPNIC 



C'è anche un'indirizzo email per segnalare abusi o cose simili: abuse@ocn.ad.jp

Purtroppo non sono un esperto di sicurezza informatica, ma visto che hanno provato ad accedere come root io farei rifiutare al demone sshd le connessioni come root. Se gli attacchi insistono con iptables imposti poi una regola che escluda completamente l'indirizzo da cui provengono gli attacchi.

Inviato: dom 16 set 2007, 0:38
da cacao74
Beh.. si, dovresti preoccuparti.
In rete circolano script kiddies ed altra robaccia...
Qualched'uno sta facendo qualche tentativo sulla porta 22 del tuo IP pubblico.

Hai diverse soluzioni per limitare o arginare definitivamente il problema:
- utilizza password robuste e complesse
- cambi porta per quel servizio
- disabiliti completamente il servizio
- limiti l'uso del servizio solo da particolari IP (tcp_wrapper/iptables)
- limiti l'accesso permettendo solo l'uso di chiavi disabilitando l'autenticazione con password
- ecc...

Trova la combinazione migliore per le tue esigenze.
ciao

Inviato: dom 16 set 2007, 2:06
da kasher
quoto cacao74, senò potresti utilizzare una soluzione più elegante, il port knocking in modo da aprire la porta solamente all' evenienza.

kasher.

Inviato: dom 16 set 2007, 2:07
da Dani
Se usi password non vulnerabili ad attacchi di tipo dizionario non mi preoccuperei piu' di tanto...

Inviato: dom 16 set 2007, 8:54
da simplex
Pero' e' sempre una seccatura che riempie i log...
Ora ho l'autenticazione tramite chiavi, prima per limitare il bruteforce sulla 22 usavo questa regola sul firewall (pf openbsd)

Codice: Seleziona tutto

pass in on $ext_if inet proto tcp from any to ($ext_if) port ssh \
   keep state \
   (max-src-conn-rate 2/60, overload <bastards> flush global)
Praticamente mette in blacklist chi tenta due o piu' connnessioni in meno di 60 secondi (ho isdn), la tabella viene flushata ogni ora.

Purtroppo non so come si faccia con iptables..

Inviato: dom 16 set 2007, 9:21
da slucky
Ciao, ti basta disabilitare l'accesso da root a ssh, se non amministri pc in remoto, questo è caldamente consigliato farlo ;)
Ti basta editare il file /etc/ssh/sshd_config e dove leggi:
# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes

metti:
# Authentication:

#LoginGraceTime 2m
#PermitRootLogin no
Ora sei a posto.

Ciao :D

Inviato: dom 16 set 2007, 9:21
da cacao74
simplex ha scritto:Pero' e' sempre una seccatura che riempie i log...
Praticamente mette in blacklist chi tenta due o piu' connnessioni in meno di 60 secondi (ho isdn), la tabella viene flushata ogni ora.

Purtroppo non so come si faccia con iptables..
Controlla, dalla pagina di manuale di iptables, la descrizione del modulo "limit" per ottenere un comportamento simile a "pf". In rete dovresti trovare anche materiale molto descrittivo.

Anche il consiglio di utilizzare "port knoking" e' molto valido!
ciao

Inviato: dom 16 set 2007, 9:23
da cacao74
slucky ha scritto:
# Authentication:

#LoginGraceTime 2m
#PermitRootLogin no
Ora sei a posto.

Ciao :D
Forse e' meglio decommentare se si vuole attivare una "feature" altrimenti rimane
attiva la parametrizzazione predefinita. ;-)

ciao

Inviato: dom 16 set 2007, 9:34
da slucky
Certo ssh resta attivo, si dovrebbe proprio disabilitarlo completamente come servizio per stopparlo............però per quanto riguarda il login da root, test di Rkhunter :
* Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... [ OK (Remote root login disabled) ]
Quindi non è necessario decommentare ;)

Saluti a tutti :D

Inviato: dom 16 set 2007, 9:57
da cacao74
slucky ha scritto: Quindi non è necessario decommentare ;)
mmm... non mi hai convinto! :-)
cito il man di sshd_config
DESCRIPTION
sshd(8) reads configuration data from /etc/ssh/sshd_config (or the file
specified with -f on the command line). The file contains keyword-argu-
ment pairs, one per line. Lines starting with '#' and empty lines are
interpreted as comments.
Arguments may optionally be enclosed in double
quotes (") in order to represent arguments containing spaces.
...
...
...
PermitRootLogin
Specifies whether root can log in using ssh(1). The argument
must be ``yes'', ``without-password'', ``forced-commands-only'',
or ``no''. The default is ``yes''.
...
ciao!

Inviato: dom 16 set 2007, 10:10
da slucky
Beh, polemica sterile, così la disabilitazione funziona.............poi ognuno faccia come crede, son fatti suoi alla fine................


Risaluti a tutti

:lol:

Inviato: dom 16 set 2007, 11:40
da anycolouryoulike
A me se non decommento la linea il login di root rimane abilitato, decommentandola invece non accetta la password anche se è giusta, quindi presumo che sia disabilitato, quindi quoto cacao74.
Non ho capito perché provano intrusioni di questo tipo: è impossibile indovinare l'user e la password!

Inviato: dom 16 set 2007, 12:13
da j0kers
Esistono vari script che ti fanno il brute della password inoltre esistono svariati exploit che sfuttano i bug dei demoni di sistema e per sshd ce ne sono a bizzeffe (ovviamente non tutte le versioni sshd sono buggate) 8) 8) 8)

Inviato: dom 16 set 2007, 12:13
da cacao74
anycolouryoulike ha scritto:Non ho capito perché provano intrusioni di questo tipo: è impossibile indovinare l'user e la password!
Non e' proprio impossibile... sicuramente e' piu' facile tentare un accesso con il login di "root", ma essendo script automatizzati utilizzano grossi dizionari di accout e password e.. a loro il tempo non manca! ;-)

ciao