Repository 32bit  Forum
Repository 64bit  Wiki

attacco alla porta 22

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

attacco alla porta 22

Messaggioda brancalessio » mer ago 31, 2005 12:42

Aug 31 11:36:49 darkstar sshd[3401]: Invalid user fluffy from 64.6.172.26
Aug 31 11:36:49 darkstar sshd[3401]: Failed password for invalid user fluffy from 64.6.172.26 port 57765 ssh2
Aug 31 11:36:52 darkstar sshd[3405]: Invalid user admin from 64.6.172.26
Aug 31 11:36:52 darkstar sshd[3405]: Failed password for invalid user admin from 64.6.172.26 port 57895 ssh2
Aug 31 11:37:00 darkstar sshd[3410]: Invalid user test from 64.6.172.26
Aug 31 11:37:00 darkstar sshd[3410]: Failed password for invalid user test from 64.6.172.26 port 58060 ssh2
Aug 31 11:37:05 darkstar sshd[3414]: Invalid user guest from 64.6.172.26


Guardando /var/log/messages mi sono trovato varie righe come quelle sopra. Fortunatamente sembra che non ci sia stata nessuna intrusione.

Come posso fare a proteggermi da questo attacco e da tutti gli altri?

Qualcuno di voi usa Snort e ha consigli da darmi (anche su programmi alternativi)?

La cosa bella è che questo mi avviene con una connessione dial-up, anche breve (circa 20 minuti).

Grazie delle risposte!
brancalessio
Linux 2.4
Linux 2.4
 
Messaggi: 316
Iscritto il: mar giu 21, 2005 23:00
Località: Modena/Bari

Messaggioda MAT » mer ago 31, 2005 12:47

Hai proprio bisogno di tenere aperta la porta 22? Se non ti serve poter accedere dall'esterno disabilita il servizio ssh
Codice: Seleziona tutto
# /etc/rc.d/rc.sshd stop
# chmod a-x /etc/rc.d/rc.sshd
Avatar utente
MAT
Linux 3.x
Linux 3.x
 
Messaggi: 1242
Iscritto il: mer mar 09, 2005 0:00
Località: Vignola, Modena
Nome Cognome: Matteo Magni
Kernel: 2.6.20
Desktop: Fluxbox
Distribuzione: Gentoo

Messaggioda brancalessio » mer ago 31, 2005 15:00

In realtà qualche volta mi viene utile tenerla aperta, anche se il più delle volte sono io che mi collego a qualche altro computer...
brancalessio
Linux 2.4
Linux 2.4
 
Messaggi: 316
Iscritto il: mar giu 21, 2005 23:00
Località: Modena/Bari

Messaggioda DaNiMoTh » mer ago 31, 2005 19:36

E se nessuno si deve connettere a te perchè devi tenere attivo il server?


Ricordatevi che una porta è aperta quando c'è un servizio in ascolto su di essa; negli altri casi, è solamente chiusa.

Se tu devi utilizzare solo il client ssh, puoi disabilitare il server ssh.


ciao
Avatar utente
DaNiMoTh
Linux 2.6
Linux 2.6
 
Messaggi: 941
Iscritto il: mar nov 30, 2004 0:00
Località: irc.syrolnet.org /// #slackware

Messaggioda gallows » mer ago 31, 2005 19:46

brancalessio ha scritto:In realtà qualche volta mi viene utile tenerla aperta, anche se il più delle volte sono io che mi collego a qualche altro computer...


sshd è il server, non il client :)
Avatar utente
gallows
Staff
Staff
 
Messaggi: 3466
Iscritto il: dom set 19, 2004 23:00
Località: Palermo
Kernel: FreeBSD 8.0-RELEASE-p3
Desktop: ratpoison

Messaggioda Vlk » mer ago 31, 2005 20:02

Per curiosità ho dato un'occhiata anche al mio /var/log messages
Non capisco queste parti:
Codice: Seleziona tutto
Aug 26 09:28:23 darkstar kernel: PPP generic driver version 2.4.2
Aug 26 09:28:23 darkstar pppd[1501]: pppd 2.4.2 started by root, uid 0
Aug 26 09:28:23 darkstar pppd[1501]: Using interface ppp0
Aug 26 09:28:23 darkstar pppd[1501]: Connect: ppp0 <--> /dev/pts/0
Aug 26 09:28:23 darkstar pppoe[1504]: PPP session is 4462
Aug 26 09:28:23 darkstar pppd[1501]: PAP authentication succeeded
Aug 26 09:28:23 darkstar pppd[1501]: local  IP address 82.59.83.21
Aug 26 09:28:23 darkstar pppd[1501]: remote IP address 192.168.100.1
Aug 26 09:47:22 darkstar -- MARK --
Aug 26 10:07:22 darkstar -- MARK --
Aug 26 10:27:22 darkstar -- MARK --
Aug 26 10:47:22 darkstar -- MARK --
Aug 26 11:07:22 darkstar -- MARK --
Aug 26 11:25:54 darkstar init: Switching to runlevel: 6

Codice: Seleziona tutto
Aug 29 16:24:19 darkstar kernel: PPP generic driver version 2.4.2
Aug 29 16:24:19 darkstar pppd[1501]: pppd 2.4.2 started by root, uid 0
Aug 29 16:24:19 darkstar pppd[1501]: Using interface ppp0
Aug 29 16:24:19 darkstar pppd[1501]: Connect: ppp0 <--> /dev/pts/0
Aug 29 16:24:19 darkstar pppoe[1504]: PPP session is 59594
Aug 29 16:24:19 darkstar pppd[1501]: PAP authentication succeeded
Aug 29 16:24:19 darkstar pppd[1501]: local  IP address 82.49.212.99
Aug 29 16:24:19 darkstar pppd[1501]: remote IP address 192.168.100.1
Aug 29 16:41:32 darkstar -- MARK --
Aug 29 17:01:32 darkstar -- MARK --
Aug 29 17:21:32 darkstar -- MARK --
Aug 29 17:31:20 darkstar init: Switching to runlevel: 0

Log più o meno simili li ho anche per altri giorni. Sapendo che non ho un utente MARK, mi sapete dire cosa cacchio è?
Vlk
Linux 2.6
Linux 2.6
 
Messaggi: 671
Iscritto il: mer feb 09, 2005 0:00

Messaggioda gallows » mer ago 31, 2005 20:08

MARK è un segno di vita che da il kernel ogni 20 minuti.
Avatar utente
gallows
Staff
Staff
 
Messaggi: 3466
Iscritto il: dom set 19, 2004 23:00
Località: Palermo
Kernel: FreeBSD 8.0-RELEASE-p3
Desktop: ratpoison

Messaggioda Vlk » mer ago 31, 2005 20:09

:lol:
E io che lo volevo invitare a cena.
Grazie mille
Vlk
Linux 2.6
Linux 2.6
 
Messaggi: 671
Iscritto il: mer feb 09, 2005 0:00

Re: attacco alla porta 22

Messaggioda manny » mer ago 31, 2005 20:58

brancalessio ha scritto:

Come posso fare a proteggermi da questo attacco


pico /etc/ssh/sshd_config

PermitRootLogin no

AllowUsers nome_utente_che_vuoi_abbia_accesso_al_server_ssh

Salva, chiudi...e riavvia ssh.
In questo modo chi attacca deve per forza sapere il tuo utente e la password e non userà utenti "noti" e root.

Ciao,
Manny
Avatar utente
manny
Linux 2.4
Linux 2.4
 
Messaggi: 277
Iscritto il: mer ott 29, 2003 0:00
Slackware: 13.1 (fisso)
Kernel: 2.6.33.4
Desktop: kde
Distribuzione: Debian 5 (notebook)

Messaggioda NaiC » mer ago 31, 2005 21:09

Se ti cercano ardentemente con una connessione dial-up, molto probabilmente sei tu che mandi loro qualcosina per farti identificare o come minimo per mandargli il tuo ip.

Controlla i cookies traccianti del tuo browser, o qualsiasi altra cosa possa mandare qualche messaggio del tipo "Ehi il pollo (non riferito a te sicuramente) si è connesso!!"

Eliminare l'utente root dal server ssh in esterno non è un consiglio... è una cosa da fare sempre e comunque...

Potresti comunque, se proprio ti senti minacciato, installare snort, e configurarlo per bene... trovi tutorials su google per divertirti come vuoi.

Semmai fammi sapere in privato.
NaiC
Linux 2.0
Linux 2.0
 
Messaggi: 147
Iscritto il: ven ago 06, 2004 23:00
Località: Perugia

Messaggioda Bart » mer ago 31, 2005 23:18

Troppo belli questi post di sicurezza.
Cavolo poi il titolo di questo post è da film: "attacco alla porta 22"!!! ;)
Si, lo ammetto, sono i miei post preferiti.
comunque tornando a noi una volta chiusa la porta e "abbattuto" il server sei a posto.
Altra cosa: si puoi sempre usare snort ma basta anche qualche regolina di iptables relativa alla porta 22 per tenere sotto controllo il traffico. Qualcosa del tipo:
iptables -t filter -A INPUT -i ppp0 -p tcp -m state --state NEW --dport 22 -j LOG --log-prefix="BLOCCATO accesso alla porta 22: "

Ovviamente una regola del genere ti blocca le connessioni al server quindi va abilitata solo se non lo usi.
Bart
Staff
Staff
 
Messaggi: 4248
Iscritto il: dom ago 08, 2004 23:00
Località: Rimini

Messaggioda brancalessio » gio set 01, 2005 12:48

In realtà cancello piuttosto spesso cookies, cache e altro in firefox, strani programmi avviati non sembra ce ne siano (con ps aux).

In realtà non a tutte le connessioni mi succede questa cosa. Comuque il login di root l'avevo già disabilitato.

NaiC ha scritto:Se ti cercano ardentemente con una connessione dial-up, molto probabilmente sei tu che mandi loro qualcosina per farti identificare o come minimo per mandargli il tuo ip.

Controlla i cookies traccianti del tuo browser, o qualsiasi altra cosa possa mandare qualche messaggio del tipo "Ehi il pollo (non riferito a te sicuramente) si è connesso!!"
brancalessio
Linux 2.4
Linux 2.4
 
Messaggi: 316
Iscritto il: mar giu 21, 2005 23:00
Località: Modena/Bari

Messaggioda NaiC » gio set 01, 2005 14:16

Permettimi, ma la cosa mi sembra sempre più strana....

Ti connetti in dialup, il tuo ip sarà uguale al precedente una volta l'anno se tutto va bene... come faccio a sapere io (in realtà si può ma non tanto facilmente) quando sei connesso e con quale ip?
a me personalmente come si dice... mi ronza una pulcetta nell'orecchio... a te no?

Fammi sapere :)
TchuSS!!
NaiC
Linux 2.0
Linux 2.0
 
Messaggi: 147
Iscritto il: ven ago 06, 2004 23:00
Località: Perugia

Messaggioda brancalessio » gio set 01, 2005 18:18

Certo che mi ronza, come no!

Dal tipo di attacco (vedo un tentatativo di login ogni 3 secondi) sembra una cosa automatica. Mi viene da pensare che magari qualcuno prova ip a caso dentro un certo blocco...

NaiC ha scritto:Permettimi, ma la cosa mi sembra sempre più strana....

Ti connetti in dialup, il tuo ip sarà uguale al precedente una volta l'anno se tutto va bene... come faccio a sapere io (in realtà si può ma non tanto facilmente) quando sei connesso e con quale ip?
a me personalmente come si dice... mi ronza una pulcetta nell'orecchio... a te no?

Fammi sapere :)
TchuSS!!
brancalessio
Linux 2.4
Linux 2.4
 
Messaggi: 316
Iscritto il: mar giu 21, 2005 23:00
Località: Modena/Bari

Messaggioda NaiC » ven set 02, 2005 11:44

O ancora più semplicemente fa girare un tool stupido come johnny the ripper su una classe di ip...

Le cose da fare sono:
a) Per star tranquillo tu, chiudi il server ssh dall'esterno, con iptables, modificando sshd.conf, ecc. non si sa mai... anche se metti sotto firewall una porta si potrebbe sempre fare un ip-tunneling verso un'altra... i giochetti sono infiniti.

b)Controlla l'ip da dove ti vengono i tentativi di fare login e vedi da dove provengono, se riesci a trovare l'host di partenza e scopri che è un'host italiano hai 90 giorni di tempo per fare un bel tar.bz2 dei log e darli alla polizia postale, o all'addetto di queste cose al primo comando dei carabinieri che incontri. Penseranno loro poi, dopo analisi dei tuoi log, e dopo prove necessarie e sufficienti, ad intraprendere azioni contro l'attacker... almeno in ambito aziendale si è costretti a fare così... per un prvato è scelta tua farlo oppure no... ti posso solo dire che se è un'ip di un host al di fuori della comunità europea, la giurisdizione vigente n italia non ci permette di far nulla...

Fammi sapere semmai

TchuSS!!
NaiC
Linux 2.0
Linux 2.0
 
Messaggi: 147
Iscritto il: ven ago 06, 2004 23:00
Località: Perugia

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite