Pagina 1 di 2
Qualcuno sta tentando di accedere alla mia Slackware!
Inviato: sab 15 set 2007, 23:56
da anycolouryoulike
Grazie a Conky ho appena visto dal /var/log/messages che qualcuno sta tentando di accedere al mio sistema via SSH!

Codice: Seleziona tutto
Sep 15 23:45:00 darkstar sshd[19718]: Did not receive identification string from 121.117.161.47
Sep 15 23:47:16 darkstar sshd[20721]: Failed password for root from 121.117.161.47 port 49903 ssh2
Sep 15 23:47:20 darkstar sshd[20756]: Failed password for root from 121.117.161.47 port 50002 ssh2
Sep 15 23:47:26 darkstar sshd[20786]: Invalid user apple from 121.117.161.47
Sep 15 23:47:26 darkstar sshd[20786]: Failed password for invalid user apple from 121.117.161.47 port 50081 ssh2
Sep 15 23:47:30 darkstar sshd[20825]: Failed password for root from 121.117.161.47 port 50169 ssh2
Sep 15 23:47:33 darkstar sshd[20908]: Invalid user brian from 121.117.161.47
Sep 15 23:47:33 darkstar sshd[20908]: Failed password for invalid user brian from 121.117.161.47 port 50223 ssh2
Sep 15 23:47:37 darkstar sshd[20931]: Failed password for root from 121.117.161.47 port 50283 ssh2
Sep 15 23:47:45 darkstar sshd[20958]: Invalid user andrew from 121.117.161.47
Sep 15 23:47:45 darkstar sshd[20958]: Failed password for invalid user andrew from 121.117.161.47 port 50348 ssh2
Sep 15 23:47:49 darkstar sshd[21013]: Failed password for root from 121.117.161.47 port 50451 ssh2
Sep 15 23:47:52 darkstar sshd[21040]: Invalid user newsroom from 121.117.161.47
Sep 15 23:47:52 darkstar sshd[21040]: Failed password for invalid user newsroom from 121.117.161.47 port 50515 ssh2
Sep 15 23:47:56 darkstar sshd[21065]: Failed password for root from 121.117.161.47 port 50568 ssh2
Sep 15 23:48:11 darkstar sshd[21086]: Invalid user magazine from 121.117.161.47
Sep 15 23:48:11 darkstar sshd[21086]: Failed password for invalid user magazine from 121.117.161.47 port 50624 ssh2
Cosa devo fare? Devo preoccuparmi?
Inviato: dom 16 set 2007, 0:33
da lamarozzo
whois mi ha dato
Codice: Seleziona tutto
netnum: 121.112.0.0 - 121.119.255.255
netname: OCN
descr: NTT Communications Corporation
descr: 1-6 Uchisaiwai-cho 1-chome Chiyoda-ku, Tokyo 100-8019 Japan
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints :abuse@ocn.ad.jp
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20060707
source: APNIC
role: Japan Network Information Center
address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047, Japan
country: JP
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed@apnic.net 20041222
changed: hm-changed@apnic.net 20050324
changed: ip-apnic@nic.ad.jp 20051027
source: APNIC
inetnum: 121.112.0.0 - 121.119.170.255
netname: PLALA
descr: Plala Networks Inc.
country: JP
admin-c: SA3783JP
tech-c: SA3783JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20060725
changed: apnic-ftp@nic.ad.jp 20061023
source: JPNIC
C'è anche un'indirizzo email per segnalare abusi o cose simili:
abuse@ocn.ad.jp
Purtroppo non sono un esperto di sicurezza informatica, ma visto che hanno provato ad accedere come root io farei rifiutare al demone sshd le connessioni come root. Se gli attacchi insistono con iptables imposti poi una regola che escluda completamente l'indirizzo da cui provengono gli attacchi.
Inviato: dom 16 set 2007, 0:38
da cacao74
Beh.. si, dovresti preoccuparti.
In rete circolano script kiddies ed altra robaccia...
Qualched'uno sta facendo qualche tentativo sulla porta 22 del tuo IP pubblico.
Hai diverse soluzioni per limitare o arginare definitivamente il problema:
- utilizza password robuste e complesse
- cambi porta per quel servizio
- disabiliti completamente il servizio
- limiti l'uso del servizio solo da particolari IP (tcp_wrapper/iptables)
- limiti l'accesso permettendo solo l'uso di chiavi disabilitando l'autenticazione con password
- ecc...
Trova la combinazione migliore per le tue esigenze.
ciao
Inviato: dom 16 set 2007, 2:06
da kasher
quoto cacao74, senò potresti utilizzare una soluzione più elegante, il port knocking in modo da aprire la porta solamente all' evenienza.
kasher.
Inviato: dom 16 set 2007, 2:07
da Dani
Se usi password non vulnerabili ad attacchi di tipo dizionario non mi preoccuperei piu' di tanto...
Inviato: dom 16 set 2007, 8:54
da simplex
Pero' e' sempre una seccatura che riempie i log...
Ora ho l'autenticazione tramite chiavi, prima per limitare il bruteforce sulla 22 usavo questa regola sul firewall (pf openbsd)
Codice: Seleziona tutto
pass in on $ext_if inet proto tcp from any to ($ext_if) port ssh \
keep state \
(max-src-conn-rate 2/60, overload <bastards> flush global)
Praticamente mette in blacklist chi tenta due o piu' connnessioni in meno di 60 secondi (ho isdn), la tabella viene flushata ogni ora.
Purtroppo non so come si faccia con iptables..
Inviato: dom 16 set 2007, 9:21
da slucky
Ciao, ti basta disabilitare l'accesso da root a ssh, se non amministri pc in remoto, questo è caldamente consigliato farlo
Ti basta editare il file /etc/ssh/sshd_config e dove leggi:
# Authentication:
#LoginGraceTime 2m
#PermitRootLogin yes
metti:
# Authentication:
#LoginGraceTime 2m
#PermitRootLogin no
Ora sei a posto.
Ciao

Inviato: dom 16 set 2007, 9:21
da cacao74
simplex ha scritto:Pero' e' sempre una seccatura che riempie i log...
Praticamente mette in blacklist chi tenta due o piu' connnessioni in meno di 60 secondi (ho isdn), la tabella viene flushata ogni ora.
Purtroppo non so come si faccia con iptables..
Controlla, dalla pagina di manuale di iptables, la descrizione del modulo "limit" per ottenere un comportamento simile a "pf". In rete dovresti trovare anche materiale molto descrittivo.
Anche il consiglio di utilizzare "port knoking" e' molto valido!
ciao
Inviato: dom 16 set 2007, 9:23
da cacao74
slucky ha scritto:
# Authentication:
#LoginGraceTime 2m
#PermitRootLogin no
Ora sei a posto.
Ciao

Forse e' meglio decommentare se si vuole attivare una "feature" altrimenti rimane
attiva la parametrizzazione predefinita.
ciao
Inviato: dom 16 set 2007, 9:34
da slucky
Certo ssh resta attivo, si dovrebbe proprio disabilitarlo completamente come servizio per stopparlo............però per quanto riguarda il login da root, test di Rkhunter :
* Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... [ OK (Remote root login disabled) ]
Quindi non è necessario decommentare
Saluti a tutti

Inviato: dom 16 set 2007, 9:57
da cacao74
slucky ha scritto:
Quindi non è necessario decommentare ;)
mmm... non mi hai convinto! :-)
cito il man di sshd_config
DESCRIPTION
sshd(8) reads configuration data from /etc/ssh/sshd_config (or the file
specified with -f on the command line). The file contains keyword-argu-
ment pairs, one per line. Lines starting with '#' and empty lines are
interpreted as comments. Arguments may optionally be enclosed in double
quotes (") in order to represent arguments containing spaces.
...
...
...
PermitRootLogin
Specifies whether root can log in using ssh(1). The argument
must be ``yes'', ``without-password'', ``forced-commands-only'',
or ``no''. The default is ``yes''.
...
ciao!
Inviato: dom 16 set 2007, 10:10
da slucky
Beh, polemica sterile, così la disabilitazione funziona.............poi ognuno faccia come crede, son fatti suoi alla fine................
Risaluti a tutti

Inviato: dom 16 set 2007, 11:40
da anycolouryoulike
A me se non decommento la linea il login di root rimane abilitato, decommentandola invece non accetta la password anche se è giusta, quindi presumo che sia disabilitato, quindi quoto cacao74.
Non ho capito perché provano intrusioni di questo tipo: è impossibile indovinare l'user e la password!
Inviato: dom 16 set 2007, 12:13
da j0kers
Inviato: dom 16 set 2007, 12:13
da cacao74
anycolouryoulike ha scritto:Non ho capito perché provano intrusioni di questo tipo: è impossibile indovinare l'user e la password!
Non e' proprio impossibile... sicuramente e' piu' facile tentare un accesso con il login di "root", ma essendo script automatizzati utilizzano grossi dizionari di accout e password e.. a loro il tempo non manca!
ciao