Mi stanno attacando...

da **Riddick** » gio mag 18, 2006 10:16

May 18 09:17:24 prospero sshd[21220]: Failed password for invalid user pgsql from 219.93.241.94 port 47194 ssh2
May 18 09:17:28 prospero sshd[21223]: Failed password for mail from 219.93.241.94 port 47611 ssh2
May 18 09:17:28 prospero sshd[21225]: Failed password for mail from 219.93.241.94 port 47611 ssh2
May 18 09:17:33 prospero sshd[21226]: Failed password for adm from 219.93.241.94 port 47995 ssh2
May 18 09:17:33 prospero sshd[21228]: Failed password for adm from 219.93.241.94 port 47995 ssh2
May 18 09:17:37 prospero sshd[21229]: Invalid user ident from 219.93.241.94

..etc.
Io vorrei bloccare accesso al mio server da 219.93.241.94.
Lo ho messo in hosts.deny ma non ha fatto niente...
come lo blocco?

Riddick

da **driver** » gio mag 18, 2006 11:29

Ciao anche io stò avendo lo stesso problema, prova a scaricare denyhosts da questo link http://sourceforge.net/project/showfiles.php?group_id=131204, dopodichè leggeti questo articoletto http://www.ilborro.info/archives/2005/08/01/denyhosts/,inoltre se vuoi settare per bene ssh per evitare altri problemi leggeti quest altro articolo http://www.dia.unisa.it/~ads/corso-security/www/CORSO-0001/SSH/installazione.htm, spero di esserti stato utile ti saluto.

Driver

:wink:

da **Riddick** » gio mag 18, 2006 11:33

grazie - ma allora mettere i hosts manualmente in hosts.deny doverbbe funzionare, no?

Riddick

da **driver** » gio mag 18, 2006 11:36

In pratica sè guardi l' articolo, vedi che ti dice che dopo 24 ore il suo /etc/hosts.deny è pieno di IP sospetti, per cui si deduce che tutti gli IP maligni secondo i criteri preconfigurati dello script , vengono messi all interno del file /etc/hosts.deny in modo automatico.

P.s. per maggiori info puoi anche consultare il file README.txt presente nella directory denyhosts, ed inoltre non dimentichiamoci del file denyhosts.cfg molto ben commentato ovviamente in inglese.

Arisaluti

Driver

:wink:

da **Riddick** » gio mag 18, 2006 11:39

ok grazie del'info

da **Bart** » gio mag 18, 2006 16:04

Io mi chiedo se ai giorni nostri con i log di un chiaro attacco brute forse su ssh uno non possa andare oltre a semplici mezzi preventivi. Cioè uno può solo difendersi? Non esistono enti adibiti a questo? Se l'utente in questione fosse un'azienda come dovrebbe comportarsi?

da **linus.bash** » gio mag 18, 2006 19:32

Bart ha scritto:Io mi chiedo se ai giorni nostri con i log di un chiaro attacco brute forse su ssh uno non possa andare oltre a semplici mezzi preventivi. Cioè uno può solo difendersi? Non esistono enti adibiti a questo? Se l'utente in questione fosse un'azienda come dovrebbe comportarsi?

penso che per questo ci sia la "polizia"...ma senza nessun danno non faresti molto.

Saluti.

da **krisis** » gio mag 18, 2006 21:43

Il tentativo di accesso non autorizzato è punibile penalmente quindi se volete impedirgli di continuare fate regolare denuncia...anche se non servirà a nulla :wink:

da **demone** » lun mag 22, 2006 19:59

comunque puoi anche usare failt2ban, e avere dei log più puliti spostanto la porta di ssh su una porta non nota

da **simplex** » mar mag 23, 2006 10:09

Un mio amico che la ha la fortuna di avere sotto al c**o una 500 mbit fa un bel flood :twisted:

da **Heidegger** » mar mag 23, 2006 10:12

Ciao riddick, tranquillo quegli attacchi sono all'ordine del giorno....
anche io e molti altri miei amici ne ricevono moltissimi.
E' molto comune riceverne su pc linux con ssh aoerto.
Ti consiglio per bloccarli di usare iptables. Puoi dare questo comando

ipbtales -A INPUT -s indirizzo_ip_attaccante -p tcp --dport 22 -J DROP
così lo bloccherai...
mi raccomando usa soltanto il DROP, è veramente efficace.
IL DROP è migliore poichè non fa capire all'avversario se il servizio è attivo o meno.
Invece se metti altri parametri, l'attaccante potrebbe capire facilmente che l'accesso alla risorsa è stato negato.
Spero si esserti stato utile,
Un saluto,
Heidegger

da **redskorpion** » gio mag 25, 2006 10:49

Ciao a tutti sono nuovo del forum, volevo chiedere avendo anche io lo stesso problema molto spesso ,avrei bisogno di alcune spiegazioni in merito al penultimo post, l IPTABLES và dato mentre il sistema viene attaccato :roll:

?,o basta darlo in qualsiasi momento in modo che il sistema quando rivelerà l attaccante con quel IP lo fermerà?nel secondo caso tutti gli IP degli aggressori vanno segnati?, e dati man mano al comando?,ed inoltre notavo anche la prima risposta a questo post, perchè lanciare un demone che sia sempre attivo non è una cattiva idea, o per esempio la sparo grossa si possono inglobbare tutti e due i sistemi cioè, il denyhosts rileva gli IP aggressori e il comando IPTABLES, li ferma?,mah.

Aspetto risposte in merito grazie per la gentile collaborazioene.

REdskorpion

:wink:

da **Heidegger** » ven mag 26, 2006 14:15

E' molto inutile segnarsi tutti gli indirizzi ip di tutte le persone che provano ad attaccarci, specie se gli stessi attaccanti godono di indirizzi ip dinamici.
Per questo motivo la cosa migliore è inserire delle regole restrittive su iptables,
per cui sia possibile provare a fare ssh verso la macchina se e soltanto se il proprio indirizzo è abilitato su iptables.
Io addirittura farei la politica tramite i mac address
Ovviamente questo limita fortemente la vostra possilibità di connettervi via remoto. Dovete soppesare un pò le vostre esigenze, specie se non avete la necessità di connettervi via remoto alla vostra macchina.
Se vi connettete via remoto sempre dallo stesso posto, potete abilitare soltanto quell'indirizzo ip, oppure pensare di fare una vpn.
Un saluto,
Daniele.

Mi stanno attacando...

Mi stanno attacando...

Denyhosts

denyhosts

Anche a mè !!!!!

Chi c’è in linea