Repository 32bit  Forum
Repository 64bit  Wiki

[RISOLTO] secondo voi è un attacco hacker???

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

[RISOLTO] secondo voi è un attacco hacker???

Messaggioda Bakkio2 » mer ott 25, 2006 23:19

ho bisogno di un parere, stasera tornando a casa, mi sono trovato il server spento.
Permettendo il fatto che gli unici server aperti sono:
Ftp, con account ristretti
apache
sshd, con un unico account, che non è root.
Se posto cat /var/log/messages, mi da:
Codice: Seleziona tutto
Oct 24 23:54:38 b2s /usr/sbin/gpm[2285]: imps2: Auto-detected intellimouse PS/2
Oct 25 00:14:20 b2s -- MARK --
Oct 25 00:34:20 b2s -- MARK --
Oct 25 00:54:20 b2s -- MARK --
Oct 25 01:14:20 b2s -- MARK --
Oct 25 01:34:20 b2s -- MARK --
Oct 25 01:54:20 b2s -- MARK --
Oct 25 02:14:20 b2s -- MARK --
Oct 25 02:34:20 b2s -- MARK --
Oct 25 02:54:20 b2s -- MARK --
Oct 25 03:14:21 b2s -- MARK --
Oct 25 03:34:21 b2s -- MARK --
Oct 25 03:54:21 b2s -- MARK --
Oct 25 04:14:21 b2s -- MARK --
Oct 25 04:34:21 b2s -- MARK --
Oct 25 04:54:21 b2s -- MARK --
Oct 25 05:14:21 b2s -- MARK --
Oct 25 05:34:21 b2s -- MARK --
Oct 25 05:54:21 b2s -- MARK --
Oct 25 06:14:21 b2s -- MARK --
Oct 25 06:34:21 b2s -- MARK --
Oct 25 06:54:21 b2s -- MARK --
Oct 25 07:14:21 b2s -- MARK --
Oct 25 07:34:22 b2s -- MARK --
Oct 25 07:54:22 b2s -- MARK --
Oct 25 08:14:22 b2s -- MARK --
Oct 25 08:34:22 b2s -- MARK --
Oct 25 08:54:22 b2s -- MARK --
Oct 25 09:14:22 b2s -- MARK --
Oct 25 09:34:22 b2s -- MARK --
Oct 25 09:54:22 b2s -- MARK --
Oct 25 10:14:22 b2s -- MARK --
Oct 25 10:34:22 b2s -- MARK --
Oct 25 10:54:22 b2s -- MARK --
Oct 25 11:14:22 b2s -- MARK --
Oct 25 11:34:23 b2s -- MARK --
Oct 25 11:54:23 b2s -- MARK --
Oct 25 12:14:23 b2s -- MARK --
Oct 25 12:34:23 b2s -- MARK --
Oct 25 12:54:23 b2s -- MARK --
Oct 25 13:14:23 b2s -- MARK --
Oct 25 13:34:23 b2s -- MARK --
Oct 25 13:48:17 b2s sshd[5600]: Did not receive identification string from 83.64.191.62
Oct 25 13:49:36 b2s sshd[5605]: User root from 83-64-191-62.paris-lodron.xdsl-line.inode.at not allowed because not listed in AllowUsers
Oct 25 13:49:36 b2s sshd[5606]: input_userauth_request: invalid user root
Oct 25 13:49:36 b2s sshd[5605]: Failed password for invalid user root from 83.64.191.62 port 3197 ssh2
Oct 25 14:14:23 b2s -- MARK --
Oct 25 14:34:23 b2s -- MARK --
Oct 25 14:54:23 b2s -- MARK --
Oct 25 15:14:23 b2s -- MARK --
Oct 25 15:34:24 b2s -- MARK --
Oct 25 15:54:24 b2s -- MARK --
Oct 25 16:14:24 b2s -- MARK --
Oct 25 16:34:24 b2s -- MARK --
Oct 25 16:54:24 b2s -- MARK --
Oct 25 17:14:24 b2s -- MARK --
Oct 25 17:34:24 b2s -- MARK --
Oct 25 17:54:24 b2s -- MARK --
Oct 25 18:14:24 b2s -- MARK --
Oct 25 18:34:24 b2s -- MARK --
Oct 25 18:54:24 b2s -- MARK --
Oct 25 19:14:24 b2s -- MARK --
Oct 25 19:34:25 b2s -- MARK --
Oct 25 19:54:25 b2s -- MARK --
Oct 25 20:04:01 b2s named[2155]: unexpected RCODE (SERVFAIL) resolving 'ns.ovh.net/AAAA/IN': 212.27.32.132#53
Oct 25 20:14:25 b2s -- MARK --
Oct 25 20:34:25 b2s -- MARK --
Oct 25 20:45:19 b2s named[2155]: lame server resolving 'www.eea.europa.eu' (in 'eea.europa.EU'?): 217.74.208.67#53
Oct 25 21:00:00 b2s init: Switching to runlevel: 0
Oct 25 21:00:01 b2s /usr/sbin/gpm[2285]: *** info [mice.c(1766)]:
Oct 25 21:00:01 b2s /usr/sbin/gpm[2285]: imps2: Auto-detected intellimouse PS/2
Oct 25 21:00:06 b2s sshd[2152]: Received signal 15; terminating.
Oct 25 21:00:06 b2s logger: /etc/rc.d/rc.inet1:  /sbin/route del default
Oct 25 21:00:06 b2s logger: /etc/rc.d/rc.inet1:  /sbin/ifconfig eth0 down
Oct 25 21:00:06 b2s logger: /etc/rc.d/rc.inet1:  /sbin/ifconfig eth1 down
Oct 25 21:00:06 b2s logger: /etc/rc.d/rc.inet1:  /sbin/ifconfig lo down
Oct 25 21:00:06 b2s exiting on signal 15
Oct 26 00:09:35 b2s syslogd 1.4.1: restart.

come si può notare, da diversi giorni non avevo tentativi in ssh, solo uno oggi alle 13, ma fallito.
Improvvisamente però, alle 21 è andato da solo in runlevel 0 e 6 secondi dopo sshd termina.
Secondo voi, ho avuto un attacco non rilevato??? oppure la mia slack 11 è impazzita dopo neanche un mese???
Ultima modifica di Bakkio2 il gio ott 26, 2006 9:42, modificato 1 volta in totale.
Avatar utente
Bakkio2
Linux 2.4
Linux 2.4
 
Messaggi: 286
Iscritto il: gio mar 24, 2005 0:00
Località: Villesse (GO)
Nome Cognome: Carlo B.
Slackware: 13.37 64
Kernel: 2.6.33.4-smp
Desktop: kde-4.4.3

Messaggioda alessiodf » gio ott 26, 2006 8:08

Io dico la mia.. ma non darmi troppo retta! :oops:
Codice: Seleziona tutto
Oct 25 13:49:36 b2s sshd[5605]: Failed password for invalid user root from 83.64.191.62 port 3197 ssh2
Se dici che root da ssh e' disabilitato, qualcuno, ci ha provato! Conosci quell'ip?

comunque.. il furbone non e' sicuramente riuscito ad entrare, ma credo che habbia usato un sistema automatico a ti abbia fatto un brute force.. Ora, non vorrei che sshd prende di sua iniziativa dei provvedimenti al verificarsi di troffi accessi che vanno male, e spenga la macchina.. RIPOTO: IMHO! :roll:
Avatar utente
alessiodf
Linux 2.6
Linux 2.6
 
Messaggi: 823
Iscritto il: ven ott 14, 2005 20:04
Località: Roma
Slackware: current
Kernel: 2.6.26.4
Desktop: Kde 4.1

Messaggioda borgo.ema » gio ott 26, 2006 9:12

Non è che nei file /etc/hosts.allow e /etc/hosts.deny

hai impostato un shutdown nel caso di tentato accesso root via ssh???
borgo.ema
Linux 2.0
Linux 2.0
 
Messaggi: 150
Iscritto il: dom mag 14, 2006 11:14
Località: Milano

Messaggioda Bakkio2 » gio ott 26, 2006 9:41

apparte il fatto che non ho alba di come impostare uno shutdown a tentetivi di connessione, e la cosa mi piacerebbe saperla...
borgo.ema
Messaggio Inviato: Gio Ott 26, 2006 6:12 pm Oggetto:
Non è che nei file /etc/hosts.allow e /etc/hosts.deny

hai impostato un shutdown nel caso di tentato accesso root via ssh???


comunque, ho risolto l'enigma, la macchina è stata spenta manualmente da un çr€tinò di nome fratello, che non conosce la differenza tra un pc e un server, e che dopo aver combinato il danno, si lamenta pure che il suo portatile non va in internet in quanto il server faceva da firewall e proxy.....
Avatar utente
Bakkio2
Linux 2.4
Linux 2.4
 
Messaggi: 286
Iscritto il: gio mar 24, 2005 0:00
Località: Villesse (GO)
Nome Cognome: Carlo B.
Slackware: 13.37 64
Kernel: 2.6.33.4-smp
Desktop: kde-4.4.3

Messaggioda Dani » gio ott 26, 2006 14:54

Comunque, se ti avessero attaccato non sarebbero stati certamente degli hacker.
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti