attacco alla porta 22

[brancalessio]

Aug 31 11:36:49 darkstar sshd[3401]: Invalid user fluffy from 64.6.172.26
Aug 31 11:36:49 darkstar sshd[3401]: Failed password for invalid user fluffy from 64.6.172.26 port 57765 ssh2
Aug 31 11:36:52 darkstar sshd[3405]: Invalid user admin from 64.6.172.26
Aug 31 11:36:52 darkstar sshd[3405]: Failed password for invalid user admin from 64.6.172.26 port 57895 ssh2
Aug 31 11:37:00 darkstar sshd[3410]: Invalid user test from 64.6.172.26
Aug 31 11:37:00 darkstar sshd[3410]: Failed password for invalid user test from 64.6.172.26 port 58060 ssh2
Aug 31 11:37:05 darkstar sshd[3414]: Invalid user guest from 64.6.172.26

Guardando /var/log/messages mi sono trovato varie righe come quelle sopra. Fortunatamente sembra che non ci sia stata nessuna intrusione.

Come posso fare a proteggermi da questo attacco e da tutti gli altri?

Qualcuno di voi usa Snort e ha consigli da darmi (anche su programmi alternativi)?

La cosa bella è che questo mi avviene con una connessione dial-up, anche breve (circa 20 minuti).

Grazie delle risposte!

[MAT]

Hai proprio bisogno di tenere aperta la porta 22? Se non ti serve poter accedere dall'esterno disabilita il servizio ssh

Codice: Seleziona tutto

# /etc/rc.d/rc.sshd stop
# chmod a-x /etc/rc.d/rc.sshd

[brancalessio]

In realtà qualche volta mi viene utile tenerla aperta, anche se il più delle volte sono io che mi collego a qualche altro computer...

[DaNiMoTh]

E se nessuno si deve connettere a te perchè devi tenere attivo il server?


Ricordatevi che una porta è aperta quando c'è un servizio in ascolto su di essa; negli altri casi, è solamente chiusa.

Se tu devi utilizzare solo il client ssh, puoi disabilitare il server ssh.


ciao

[gallows]

In realtà qualche volta mi viene utile tenerla aperta, anche se il più delle volte sono io che mi collego a qualche altro computer...

sshd è il server, non il client

[Vlk]

Per curiosità ho dato un'occhiata anche al mio /var/log messages
Non capisco queste parti:

Codice: Seleziona tutto

Aug 26 09:28:23 darkstar kernel: PPP generic driver version 2.4.2
Aug 26 09:28:23 darkstar pppd[1501]: pppd 2.4.2 started by root, uid 0
Aug 26 09:28:23 darkstar pppd[1501]: Using interface ppp0
Aug 26 09:28:23 darkstar pppd[1501]: Connect: ppp0 <--> /dev/pts/0
Aug 26 09:28:23 darkstar pppoe[1504]: PPP session is 4462
Aug 26 09:28:23 darkstar pppd[1501]: PAP authentication succeeded
Aug 26 09:28:23 darkstar pppd[1501]: local  IP address 82.59.83.21
Aug 26 09:28:23 darkstar pppd[1501]: remote IP address 192.168.100.1
Aug 26 09:47:22 darkstar -- MARK --
Aug 26 10:07:22 darkstar -- MARK --
Aug 26 10:27:22 darkstar -- MARK --
Aug 26 10:47:22 darkstar -- MARK --
Aug 26 11:07:22 darkstar -- MARK --
Aug 26 11:25:54 darkstar init: Switching to runlevel: 6

Codice: Seleziona tutto

Aug 29 16:24:19 darkstar kernel: PPP generic driver version 2.4.2
Aug 29 16:24:19 darkstar pppd[1501]: pppd 2.4.2 started by root, uid 0
Aug 29 16:24:19 darkstar pppd[1501]: Using interface ppp0
Aug 29 16:24:19 darkstar pppd[1501]: Connect: ppp0 <--> /dev/pts/0
Aug 29 16:24:19 darkstar pppoe[1504]: PPP session is 59594
Aug 29 16:24:19 darkstar pppd[1501]: PAP authentication succeeded
Aug 29 16:24:19 darkstar pppd[1501]: local  IP address 82.49.212.99
Aug 29 16:24:19 darkstar pppd[1501]: remote IP address 192.168.100.1
Aug 29 16:41:32 darkstar -- MARK --
Aug 29 17:01:32 darkstar -- MARK --
Aug 29 17:21:32 darkstar -- MARK --
Aug 29 17:31:20 darkstar init: Switching to runlevel: 0

Log più o meno simili li ho anche per altri giorni. Sapendo che non ho un utente MARK, mi sapete dire cosa cacchio è?

[gallows]

MARK è un segno di vita che da il kernel ogni 20 minuti.

[Vlk]

E io che lo volevo invitare a cena.
Grazie mille

[manny]

Come posso fare a proteggermi da questo attacco

pico /etc/ssh/sshd_config

PermitRootLogin no

AllowUsers nome_utente_che_vuoi_abbia_accesso_al_server_ssh

Salva, chiudi...e riavvia ssh.
In questo modo chi attacca deve per forza sapere il tuo utente e la password e non userà utenti "noti" e root.

Ciao,
Manny

[NaiC]

Se ti cercano ardentemente con una connessione dial-up, molto probabilmente sei tu che mandi loro qualcosina per farti identificare o come minimo per mandargli il tuo ip.

Controlla i cookies traccianti del tuo browser, o qualsiasi altra cosa possa mandare qualche messaggio del tipo "Ehi il pollo (non riferito a te sicuramente) si è connesso!!"

Eliminare l'utente root dal server ssh in esterno non è un consiglio... è una cosa da fare sempre e comunque...

Potresti comunque, se proprio ti senti minacciato, installare snort, e configurarlo per bene... trovi tutorials su google per divertirti come vuoi.

Semmai fammi sapere in privato.

[Bart]

Troppo belli questi post di sicurezza.
Cavolo poi il titolo di questo post è da film: "attacco alla porta 22"!!!
Si, lo ammetto, sono i miei post preferiti.
comunque tornando a noi una volta chiusa la porta e "abbattuto" il server sei a posto.
Altra cosa: si puoi sempre usare snort ma basta anche qualche regolina di iptables relativa alla porta 22 per tenere sotto controllo il traffico. Qualcosa del tipo:

iptables -t filter -A INPUT -i ppp0 -p tcp -m state --state NEW --dport 22 -j LOG --log-prefix="BLOCCATO accesso alla porta 22: "

Ovviamente una regola del genere ti blocca le connessioni al server quindi va abilitata solo se non lo usi.

[brancalessio]

In realtà cancello piuttosto spesso cookies, cache e altro in firefox, strani programmi avviati non sembra ce ne siano (con ps aux).

In realtà non a tutte le connessioni mi succede questa cosa. Comuque il login di root l'avevo già disabilitato.

Se ti cercano ardentemente con una connessione dial-up, molto probabilmente sei tu che mandi loro qualcosina per farti identificare o come minimo per mandargli il tuo ip.

Controlla i cookies traccianti del tuo browser, o qualsiasi altra cosa possa mandare qualche messaggio del tipo "Ehi il pollo (non riferito a te sicuramente) si è connesso!!"

[NaiC]

Permettimi, ma la cosa mi sembra sempre più strana....

Ti connetti in dialup, il tuo ip sarà uguale al precedente una volta l'anno se tutto va bene... come faccio a sapere io (in realtà si può ma non tanto facilmente) quando sei connesso e con quale ip?
a me personalmente come si dice... mi ronza una pulcetta nell'orecchio... a te no?

Fammi sapere
TchuSS!!

[brancalessio]

Certo che mi ronza, come no!

Dal tipo di attacco (vedo un tentatativo di login ogni 3 secondi) sembra una cosa automatica. Mi viene da pensare che magari qualcuno prova ip a caso dentro un certo blocco...

Permettimi, ma la cosa mi sembra sempre più strana....

Ti connetti in dialup, il tuo ip sarà uguale al precedente una volta l'anno se tutto va bene... come faccio a sapere io (in realtà si può ma non tanto facilmente) quando sei connesso e con quale ip?
a me personalmente come si dice... mi ronza una pulcetta nell'orecchio... a te no?

Fammi sapere
TchuSS!!

[NaiC]

O ancora più semplicemente fa girare un tool stupido come johnny the ripper su una classe di ip...

Le cose da fare sono:
a) Per star tranquillo tu, chiudi il server ssh dall'esterno, con iptables, modificando sshd.conf, ecc. non si sa mai... anche se metti sotto firewall una porta si potrebbe sempre fare un ip-tunneling verso un'altra... i giochetti sono infiniti.

b)Controlla l'ip da dove ti vengono i tentativi di fare login e vedi da dove provengono, se riesci a trovare l'host di partenza e scopri che è un'host italiano hai 90 giorni di tempo per fare un bel tar.bz2 dei log e darli alla polizia postale, o all'addetto di queste cose al primo comando dei carabinieri che incontri. Penseranno loro poi, dopo analisi dei tuoi log, e dopo prove necessarie e sufficienti, ad intraprendere azioni contro l'attacker... almeno in ambito aziendale si è costretti a fare così... per un prvato è scelta tua farlo oppure no... ti posso solo dire che se è un'ip di un host al di fuori della comunità europea, la giurisdizione vigente n italia non ci permette di far nulla...

Fammi sapere semmai

TchuSS!!