Mi stanno attacando...

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
Riddick
Linux 2.4
Linux 2.4
Messaggi: 274
Iscritto il: mar gen 03, 2006 16:20
Località: Roma o Bristol
Contatta:

Mi stanno attacando...

Messaggioda Riddick » gio mag 18, 2006 10:16

May 18 09:17:24 prospero sshd[21220]: Failed password for invalid user pgsql from 219.93.241.94 port 47194 ssh2
May 18 09:17:28 prospero sshd[21223]: Failed password for mail from 219.93.241.94 port 47611 ssh2
May 18 09:17:28 prospero sshd[21225]: Failed password for mail from 219.93.241.94 port 47611 ssh2
May 18 09:17:33 prospero sshd[21226]: Failed password for adm from 219.93.241.94 port 47995 ssh2
May 18 09:17:33 prospero sshd[21228]: Failed password for adm from 219.93.241.94 port 47995 ssh2
May 18 09:17:37 prospero sshd[21229]: Invalid user ident from 219.93.241.94


..etc.
Io vorrei bloccare accesso al mio server da 219.93.241.94.
Lo ho messo in hosts.deny ma non ha fatto niente...
come lo blocco?

Riddick

driver
Linux 1.0
Linux 1.0
Messaggi: 22
Iscritto il: mer nov 16, 2005 16:20

Denyhosts

Messaggioda driver » gio mag 18, 2006 11:29

Ciao anche io stò avendo lo stesso problema, prova a scaricare denyhosts da questo link http://sourceforge.net/project/showfiles.php?group_id=131204, dopodichè leggeti questo articoletto http://www.ilborro.info/archives/2005/08/01/denyhosts/,inoltre se vuoi settare per bene ssh per evitare altri problemi leggeti quest altro articolo http://www.dia.unisa.it/~ads/corso-security/www/CORSO-0001/SSH/installazione.htm, spero di esserti stato utile ti saluto.

Driver

:wink:
Ultima modifica di driver il gio mag 18, 2006 13:07, modificato 1 volta in totale.

Avatar utente
Riddick
Linux 2.4
Linux 2.4
Messaggi: 274
Iscritto il: mar gen 03, 2006 16:20
Località: Roma o Bristol
Contatta:

Messaggioda Riddick » gio mag 18, 2006 11:33

grazie - ma allora mettere i hosts manualmente in hosts.deny doverbbe funzionare, no?

Riddick

driver
Linux 1.0
Linux 1.0
Messaggi: 22
Iscritto il: mer nov 16, 2005 16:20

denyhosts

Messaggioda driver » gio mag 18, 2006 11:36

In pratica sè guardi l' articolo, vedi che ti dice che dopo 24 ore il suo /etc/hosts.deny è pieno di IP sospetti, per cui si deduce che tutti gli IP maligni secondo i criteri preconfigurati dello script , vengono messi all interno del file /etc/hosts.deny in modo automatico.

P.s. per maggiori info puoi anche consultare il file README.txt presente nella directory denyhosts, ed inoltre non dimentichiamoci del file denyhosts.cfg molto ben commentato ovviamente in inglese.

Arisaluti

Driver

:wink:
Ultima modifica di driver il gio mag 18, 2006 12:32, modificato 6 volte in totale.

Avatar utente
Riddick
Linux 2.4
Linux 2.4
Messaggi: 274
Iscritto il: mar gen 03, 2006 16:20
Località: Roma o Bristol
Contatta:

Messaggioda Riddick » gio mag 18, 2006 11:39

ok grazie del'info

Bart
Staff
Staff
Messaggi: 4249
Iscritto il: lun ago 09, 2004 0:00
Località: Rimini

Messaggioda Bart » gio mag 18, 2006 16:04

Io mi chiedo se ai giorni nostri con i log di un chiaro attacco brute forse su ssh uno non possa andare oltre a semplici mezzi preventivi. Cioè uno può solo difendersi? Non esistono enti adibiti a questo? Se l'utente in questione fosse un'azienda come dovrebbe comportarsi?

Avatar utente
linus.bash
Linux 2.6
Linux 2.6
Messaggi: 976
Iscritto il: ven feb 10, 2006 12:58
Località: Bologna
Contatta:

Messaggioda linus.bash » gio mag 18, 2006 19:32

Bart ha scritto:Io mi chiedo se ai giorni nostri con i log di un chiaro attacco brute forse su ssh uno non possa andare oltre a semplici mezzi preventivi. Cioè uno può solo difendersi? Non esistono enti adibiti a questo? Se l'utente in questione fosse un'azienda come dovrebbe comportarsi?


penso che per questo ci sia la "polizia"...ma senza nessun danno non faresti molto.

Saluti.

Avatar utente
krisis
Linux 3.x
Linux 3.x
Messaggi: 1120
Iscritto il: mar gen 25, 2005 0:00
Distribuzione: debian
Località: Roma

Messaggioda krisis » gio mag 18, 2006 21:43

Il tentativo di accesso non autorizzato è punibile penalmente quindi se volete impedirgli di continuare fate regolare denuncia...anche se non servirà a nulla :wink:

demone
Linux 1.0
Linux 1.0
Messaggi: 92
Iscritto il: mer apr 14, 2004 0:00
Località: inferno
Contatta:

Messaggioda demone » lun mag 22, 2006 19:59

comunque puoi anche usare failt2ban, e avere dei log più puliti spostanto la porta di ssh su una porta non nota

Avatar utente
simplex
Linux 2.4
Linux 2.4
Messaggi: 327
Iscritto il: mer lug 27, 2005 0:00
Slackware: current
Desktop: xfce
Contatta:

Messaggioda simplex » mar mag 23, 2006 10:09

Un mio amico che la ha la fortuna di avere sotto al c**o una 500 mbit fa un bel flood :twisted:

Avatar utente
Heidegger
Linux 2.4
Linux 2.4
Messaggi: 246
Iscritto il: lun mar 28, 2005 0:00
Località: Roma
Contatta:

Messaggioda Heidegger » mar mag 23, 2006 10:12

Ciao riddick, tranquillo quegli attacchi sono all'ordine del giorno....
anche io e molti altri miei amici ne ricevono moltissimi.
E' molto comune riceverne su pc linux con ssh aoerto.
Ti consiglio per bloccarli di usare iptables. Puoi dare questo comando

ipbtales -A INPUT -s indirizzo_ip_attaccante -p tcp --dport 22 -J DROP
così lo bloccherai...
mi raccomando usa soltanto il DROP, è veramente efficace.
IL DROP è migliore poichè non fa capire all'avversario se il servizio è attivo o meno.
Invece se metti altri parametri, l'attaccante potrebbe capire facilmente che l'accesso alla risorsa è stato negato.
Spero si esserti stato utile,
Un saluto,
Heidegger

Avatar utente
redskorpion
Linux 1.0
Linux 1.0
Messaggi: 33
Iscritto il: gio mag 25, 2006 10:31

Anche a mè !!!!!

Messaggioda redskorpion » gio mag 25, 2006 10:49

Ciao a tutti sono nuovo del forum, volevo chiedere avendo anche io lo stesso problema molto spesso ,avrei bisogno di alcune spiegazioni in merito al penultimo post, l IPTABLES và dato mentre il sistema viene attaccato :roll: ?,o basta darlo in qualsiasi momento in modo che il sistema quando rivelerà l attaccante con quel IP lo fermerà?nel secondo caso tutti gli IP degli aggressori vanno segnati?, e dati man mano al comando?,ed inoltre notavo anche la prima risposta a questo post, perchè lanciare un demone che sia sempre attivo non è una cattiva idea, o per esempio la sparo grossa si possono inglobbare tutti e due i sistemi cioè, il denyhosts rileva gli IP aggressori e il comando IPTABLES, li ferma?,mah.

Aspetto risposte in merito grazie per la gentile collaborazioene.

REdskorpion

:wink:

Avatar utente
Heidegger
Linux 2.4
Linux 2.4
Messaggi: 246
Iscritto il: lun mar 28, 2005 0:00
Località: Roma
Contatta:

Messaggioda Heidegger » ven mag 26, 2006 14:15

E' molto inutile segnarsi tutti gli indirizzi ip di tutte le persone che provano ad attaccarci, specie se gli stessi attaccanti godono di indirizzi ip dinamici.
Per questo motivo la cosa migliore è inserire delle regole restrittive su iptables,
per cui sia possibile provare a fare ssh verso la macchina se e soltanto se il proprio indirizzo è abilitato su iptables.
Io addirittura farei la politica tramite i mac address
Ovviamente questo limita fortemente la vostra possilibità di connettervi via remoto. Dovete soppesare un pò le vostre esigenze, specie se non avete la necessità di connettervi via remoto alla vostra macchina.
Se vi connettete via remoto sempre dallo stesso posto, potete abilitare soltanto quell'indirizzo ip, oppure pensare di fare una vpn.
Un saluto,
Daniele.


Torna a “Sicurezza”

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti