Repository 32bit  Forum
Repository 64bit  Wiki

Mi stanno attacando...

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Mi stanno attacando...

Messaggioda Riddick » gio mag 18, 2006 9:16

May 18 09:17:24 prospero sshd[21220]: Failed password for invalid user pgsql from 219.93.241.94 port 47194 ssh2
May 18 09:17:28 prospero sshd[21223]: Failed password for mail from 219.93.241.94 port 47611 ssh2
May 18 09:17:28 prospero sshd[21225]: Failed password for mail from 219.93.241.94 port 47611 ssh2
May 18 09:17:33 prospero sshd[21226]: Failed password for adm from 219.93.241.94 port 47995 ssh2
May 18 09:17:33 prospero sshd[21228]: Failed password for adm from 219.93.241.94 port 47995 ssh2
May 18 09:17:37 prospero sshd[21229]: Invalid user ident from 219.93.241.94


..etc.
Io vorrei bloccare accesso al mio server da 219.93.241.94.
Lo ho messo in hosts.deny ma non ha fatto niente...
come lo blocco?

Riddick
Avatar utente
Riddick
Linux 2.4
Linux 2.4
 
Messaggi: 274
Iscritto il: mar gen 03, 2006 16:20
Località: Roma o Bristol

Denyhosts

Messaggioda driver » gio mag 18, 2006 10:29

Ciao anche io stò avendo lo stesso problema, prova a scaricare denyhosts da questo link http://sourceforge.net/project/showfiles.php?group_id=131204, dopodichè leggeti questo articoletto http://www.ilborro.info/archives/2005/08/01/denyhosts/,inoltre se vuoi settare per bene ssh per evitare altri problemi leggeti quest altro articolo http://www.dia.unisa.it/~ads/corso-security/www/CORSO-0001/SSH/installazione.htm, spero di esserti stato utile ti saluto.

Driver

:wink:
Ultima modifica di driver il gio mag 18, 2006 12:07, modificato 1 volta in totale.
driver
Linux 1.0
Linux 1.0
 
Messaggi: 22
Iscritto il: mer nov 16, 2005 16:20

Messaggioda Riddick » gio mag 18, 2006 10:33

grazie - ma allora mettere i hosts manualmente in hosts.deny doverbbe funzionare, no?

Riddick
Avatar utente
Riddick
Linux 2.4
Linux 2.4
 
Messaggi: 274
Iscritto il: mar gen 03, 2006 16:20
Località: Roma o Bristol

denyhosts

Messaggioda driver » gio mag 18, 2006 10:36

In pratica sè guardi l' articolo, vedi che ti dice che dopo 24 ore il suo /etc/hosts.deny è pieno di IP sospetti, per cui si deduce che tutti gli IP maligni secondo i criteri preconfigurati dello script , vengono messi all interno del file /etc/hosts.deny in modo automatico.

P.s. per maggiori info puoi anche consultare il file README.txt presente nella directory denyhosts, ed inoltre non dimentichiamoci del file denyhosts.cfg molto ben commentato ovviamente in inglese.

Arisaluti

Driver

:wink:
Ultima modifica di driver il gio mag 18, 2006 11:32, modificato 6 volte in totale.
driver
Linux 1.0
Linux 1.0
 
Messaggi: 22
Iscritto il: mer nov 16, 2005 16:20

Messaggioda Riddick » gio mag 18, 2006 10:39

ok grazie del'info
Avatar utente
Riddick
Linux 2.4
Linux 2.4
 
Messaggi: 274
Iscritto il: mar gen 03, 2006 16:20
Località: Roma o Bristol

Messaggioda Bart » gio mag 18, 2006 15:04

Io mi chiedo se ai giorni nostri con i log di un chiaro attacco brute forse su ssh uno non possa andare oltre a semplici mezzi preventivi. Cioè uno può solo difendersi? Non esistono enti adibiti a questo? Se l'utente in questione fosse un'azienda come dovrebbe comportarsi?
Bart
Staff
Staff
 
Messaggi: 4248
Iscritto il: dom ago 08, 2004 23:00
Località: Rimini

Messaggioda linus.bash » gio mag 18, 2006 18:32

Bart ha scritto:Io mi chiedo se ai giorni nostri con i log di un chiaro attacco brute forse su ssh uno non possa andare oltre a semplici mezzi preventivi. Cioè uno può solo difendersi? Non esistono enti adibiti a questo? Se l'utente in questione fosse un'azienda come dovrebbe comportarsi?


penso che per questo ci sia la "polizia"...ma senza nessun danno non faresti molto.

Saluti.
Avatar utente
linus.bash
Linux 2.6
Linux 2.6
 
Messaggi: 976
Iscritto il: ven feb 10, 2006 12:58
Località: Bologna

Messaggioda krisis » gio mag 18, 2006 20:43

Il tentativo di accesso non autorizzato è punibile penalmente quindi se volete impedirgli di continuare fate regolare denuncia...anche se non servirà a nulla :wink:
Avatar utente
krisis
Linux 3.x
Linux 3.x
 
Messaggi: 1120
Iscritto il: mar gen 25, 2005 0:00
Località: Roma
Distribuzione: debian

Messaggioda demone » lun mag 22, 2006 18:59

comunque puoi anche usare failt2ban, e avere dei log più puliti spostanto la porta di ssh su una porta non nota
demone
Linux 1.0
Linux 1.0
 
Messaggi: 92
Iscritto il: mar apr 13, 2004 23:00
Località: inferno

Messaggioda simplex » mar mag 23, 2006 9:09

Un mio amico che la ha la fortuna di avere sotto al c**o una 500 mbit fa un bel flood :twisted:
Avatar utente
simplex
Linux 2.4
Linux 2.4
 
Messaggi: 327
Iscritto il: mar lug 26, 2005 23:00
Slackware: current
Desktop: xfce

Messaggioda Heidegger » mar mag 23, 2006 9:12

Ciao riddick, tranquillo quegli attacchi sono all'ordine del giorno....
anche io e molti altri miei amici ne ricevono moltissimi.
E' molto comune riceverne su pc linux con ssh aoerto.
Ti consiglio per bloccarli di usare iptables. Puoi dare questo comando

ipbtales -A INPUT -s indirizzo_ip_attaccante -p tcp --dport 22 -J DROP
così lo bloccherai...
mi raccomando usa soltanto il DROP, è veramente efficace.
IL DROP è migliore poichè non fa capire all'avversario se il servizio è attivo o meno.
Invece se metti altri parametri, l'attaccante potrebbe capire facilmente che l'accesso alla risorsa è stato negato.
Spero si esserti stato utile,
Un saluto,
Heidegger
Avatar utente
Heidegger
Linux 2.4
Linux 2.4
 
Messaggi: 246
Iscritto il: dom mar 27, 2005 23:00
Località: Roma

Anche a mè !!!!!

Messaggioda redskorpion » gio mag 25, 2006 9:49

Ciao a tutti sono nuovo del forum, volevo chiedere avendo anche io lo stesso problema molto spesso ,avrei bisogno di alcune spiegazioni in merito al penultimo post, l IPTABLES và dato mentre il sistema viene attaccato :roll: ?,o basta darlo in qualsiasi momento in modo che il sistema quando rivelerà l attaccante con quel IP lo fermerà?nel secondo caso tutti gli IP degli aggressori vanno segnati?, e dati man mano al comando?,ed inoltre notavo anche la prima risposta a questo post, perchè lanciare un demone che sia sempre attivo non è una cattiva idea, o per esempio la sparo grossa si possono inglobbare tutti e due i sistemi cioè, il denyhosts rileva gli IP aggressori e il comando IPTABLES, li ferma?,mah.

Aspetto risposte in merito grazie per la gentile collaborazioene.

REdskorpion

:wink:
Avatar utente
redskorpion
Linux 1.0
Linux 1.0
 
Messaggi: 33
Iscritto il: gio mag 25, 2006 9:31

Messaggioda Heidegger » ven mag 26, 2006 13:15

E' molto inutile segnarsi tutti gli indirizzi ip di tutte le persone che provano ad attaccarci, specie se gli stessi attaccanti godono di indirizzi ip dinamici.
Per questo motivo la cosa migliore è inserire delle regole restrittive su iptables,
per cui sia possibile provare a fare ssh verso la macchina se e soltanto se il proprio indirizzo è abilitato su iptables.
Io addirittura farei la politica tramite i mac address
Ovviamente questo limita fortemente la vostra possilibità di connettervi via remoto. Dovete soppesare un pò le vostre esigenze, specie se non avete la necessità di connettervi via remoto alla vostra macchina.
Se vi connettete via remoto sempre dallo stesso posto, potete abilitare soltanto quell'indirizzo ip, oppure pensare di fare una vpn.
Un saluto,
Daniele.
Avatar utente
Heidegger
Linux 2.4
Linux 2.4
 
Messaggi: 246
Iscritto il: dom mar 27, 2005 23:00
Località: Roma


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti