Repository 32bit  Forum
Repository 64bit  Wiki

log di ssh

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

log di ssh

Messaggioda nik600 » sab set 17, 2005 8:41

ciao

dove trovo i log di ssh?

vorrei vedere i vari accessi/tentativi di accesso da parte di quali utenti a che ora e anche da che host...
nik600
Linux 2.4
Linux 2.4
 
Messaggi: 449
Iscritto il: lun mar 15, 2004 0:00

Messaggioda nik600 » sab set 17, 2005 8:44

guardando in syslog ho trovato questo:

mi para abbastanza preoccupante!:

Codice: Seleziona tutto
Sep 14 19:49:00 unixweb sshd[9740]: error: Could not get shadow information for NOUSER
Sep 14 19:49:04 unixweb sshd[9744]: error: Could not get shadow information for NOUSER
Sep 14 19:49:07 unixweb sshd[9748]: error: Could not get shadow information for NOUSER
Sep 14 19:49:10 unixweb sshd[9752]: error: Could not get shadow information for NOUSER
Sep 14 19:49:14 unixweb sshd[9756]: error: Could not get shadow information for NOUSER
Sep 14 19:49:18 unixweb sshd[9760]: error: Could not get shadow information for NOUSER
Sep 14 19:49:21 unixweb sshd[9764]: error: Could not get shadow information for NOUSER
Sep 14 19:49:24 unixweb sshd[9768]: error: Could not get shadow information for NOUSER
Sep 14 19:49:28 unixweb sshd[9772]: error: Could not get shadow information for NOUSER
Sep 14 19:49:31 unixweb sshd[9776]: error: Could not get shadow information for NOUSER
Sep 14 19:49:34 unixweb sshd[9780]: error: Could not get shadow information for NOUSER
Sep 14 19:49:37 unixweb sshd[9784]: error: Could not get shadow information for NOUSER
Sep 14 19:49:41 unixweb sshd[9788]: error: Could not get shadow information for NOUSER
Sep 14 19:49:44 unixweb sshd[9792]: error: Could not get shadow information for NOUSER
Sep 14 19:49:47 unixweb sshd[9796]: error: Could not get shadow information for NOUSER
Sep 14 19:49:51 unixweb sshd[9800]: error: Could not get shadow information for NOUSER
Sep 14 19:49:54 unixweb sshd[9804]: error: Could not get shadow information for NOUSER
Sep 14 19:49:57 unixweb sshd[9808]: error: Could not get shadow information for NOUSER
Sep 14 19:50:00 unixweb sshd[9812]: error: Could not get shadow information for NOUSER
Sep 14 19:50:04 unixweb sshd[9816]: error: Could not get shadow information for NOUSER
Sep 14 19:50:07 unixweb sshd[9820]: error: Could not get shadow information for NOUSER
Sep 14 19:50:10 unixweb sshd[9824]: error: Could not get shadow information for NOUSER
Sep 14 19:50:13 unixweb sshd[9828]: error: Could not get shadow information for NOUSER
Sep 14 19:50:17 unixweb sshd[9832]: error: Could not get shadow information for NOUSER
Sep 14 19:50:20 unixweb sshd[9836]: error: Could not get shadow information for NOUSER
Sep 14 19:50:23 unixweb sshd[9840]: error: Could not get shadow information for NOUSER
Sep 14 19:50:26 unixweb sshd[9844]: error: Could not get shadow information for NOUSER
Sep 14 19:50:30 unixweb sshd[9848]: error: Could not get shadow information for NOUSER
Sep 14 19:50:33 unixweb sshd[9852]: error: Could not get shadow information for NOUSER
Sep 14 19:50:36 unixweb sshd[9856]: error: Could not get shadow information for NOUSER
Sep 14 19:50:39 unixweb sshd[9860]: error: Could not get shadow information for NOUSER
Sep 14 19:50:43 unixweb sshd[9864]: error: Could not get shadow information for NOUSER
Sep 14 19:50:46 unixweb sshd[9868]: error: Could not get shadow information for NOUSER
Sep 14 19:50:49 unixweb sshd[9872]: error: Could not get shadow information for NOUSER
Sep 14 19:50:52 unixweb sshd[9876]: error: Could not get shadow information for NOUSER
Sep 16 10:45:45 unixweb sshd[20804]: error: Could not get shadow information for NOUSER
Sep 16 10:45:52 unixweb sshd[20814]: error: Could not get shadow information for NOUSER
Sep 16 10:45:58 unixweb sshd[20818]: error: Could not get shadow information for NOUSER
Sep 16 10:46:04 unixweb sshd[20822]: error: Could not get shadow information for NOUSER
Sep 16 10:46:11 unixweb sshd[20826]: error: Could not get shadow information for NOUSER
Sep 16 10:46:36 unixweb sshd[20845]: error: Could not get shadow information for NOUSER

nik600
Linux 2.4
Linux 2.4
 
Messaggi: 449
Iscritto il: lun mar 15, 2004 0:00

Messaggioda -Shark- » sab set 17, 2005 9:10

http://seclists.org/lists/incidents/2004/Jul/0065.html

Accounts checked are guest, test & root
Its simple brute force guessing (mostly blank password attempts)
Sources are usually old, unpatched, default install Linux boxes


You're under attack! :P
Se non hai bisogno che ssh sia utilizzabile dall'esterno, filtra la porta! :)
Avatar utente
-Shark-
Linux 2.4
Linux 2.4
 
Messaggi: 238
Iscritto il: gio giu 23, 2005 23:00
Località: Grumento Nova (Pz)

Messaggioda nik600 » sab set 17, 2005 9:19

il fatto è che ho bisogno di ssh dall'esterno...

comunque x ora ho chiuso la porta... dove posso controllare x vedere se sono entrati?

dove vedo quale era l'host che ha tentato il bruteforce?
nik600
Linux 2.4
Linux 2.4
 
Messaggi: 449
Iscritto il: lun mar 15, 2004 0:00

Messaggioda Paoletta » sab set 17, 2005 10:51

se leggi la pag di manuale di sshd, c'è scritto che il demone manda i messaggi di log al system log..quindi guarda /var/log/messages
Avatar utente
Paoletta
Staff
Staff
 
Messaggi: 3900
Iscritto il: dom apr 24, 2005 23:00
Località: Varese
Slackware: 13.1
Desktop: fluxbox

Messaggioda nik600 » sab set 17, 2005 11:16

ti ringrazio dai log ho visto l'indirizzo che ha tentato il bruteforce , ho controllato con visualroute, appartiene ad una serie di indirizzi assegnati ad un provider USLEC Corp negli Stati Uniti.

secondo voi, cosa devo fare?

è molto probabile che chi ha tentato l'attacco sia passato da diversi proxy ...

mando una mail a abuse@uslec.com ? dove gli segnalo quello che è successo?

oppure dite che queste cose sono "normali" e devo lasciare perdere?

grazie mille
nik600
Linux 2.4
Linux 2.4
 
Messaggi: 449
Iscritto il: lun mar 15, 2004 0:00

Messaggioda kobaiachi » sab set 17, 2005 13:28

anche se segnali il fatto ad abuse..... non è che vengono presi provvedimenti (nel senso che non penso gli mettano la linea sottocontrollo) .
in ssh si possono settare delle acl potresti quindi far in maniera che quando ti contatta un indirizzo a te non gradito gli risponda un programmino che simula ssh ovvero gli fai credere di essere entrato ..... intanto prendi i suoi dati cerchi di rintracciarlo e poi li decidi cosa fare ................. (se mi dovesse capitare cercherei di fargli la cosa piu infame che possa fare....... se si potesse fare gli cancllerei la eprom del bios )
comunque se vuoi usare ssh da fuori una prima cosa è disabilitare l'accesso con password ed lasciare solo abilitato l'accesso con chiave rsa magari la fai da 2048 bit (ci mette un bel po a generarla ma secondo me ne vale la pena )

una cosa che puoi fare non so se funge su internet ancora non lo ho mai provato è usare un honey wall ............
kobaiachi
Linux 3.x
Linux 3.x
 
Messaggi: 1368
Iscritto il: mer lug 13, 2005 23:00
Località: roma

Messaggioda kobaiachi » sab set 17, 2005 13:34

a una altra cosa devi usare la versione 2 del protocollo ssh perche la 1 aveva bachi di sicurezza devi quindi accettare le chiamate solo da quella versione se vuoi stare sicuro .
kobaiachi
Linux 3.x
Linux 3.x
 
Messaggi: 1368
Iscritto il: mer lug 13, 2005 23:00
Località: roma

Messaggioda darkside04 » mar ott 18, 2005 23:39

kobaiachi ha scritto:anche se segnali il fatto ad abuse..... non è che vengono presi provvedimenti (nel senso che non penso gli mettano la linea sottocontrollo) .
in ssh si possono settare delle acl potresti quindi far in maniera che quando ti contatta un indirizzo a te non gradito gli risponda un programmino che simula ssh ovvero gli fai credere di essere entrato ..... intanto prendi i suoi dati cerchi di rintracciarlo e poi li decidi cosa fare ................. (se mi dovesse capitare cercherei di fargli la cosa piu infame che possa fare....... se si potesse fare gli cancllerei la eprom del bios )
comunque se vuoi usare ssh da fuori una prima cosa è disabilitare l'accesso con password ed lasciare solo abilitato l'accesso con chiave rsa magari la fai da 2048 bit (ci mette un bel po a generarla ma secondo me ne vale la pena )

una cosa che puoi fare non so se funge su internet ancora non lo ho mai provato è usare un honey wall ............

Credo di avere lo stesso problema dove devono essere settate queste acl?? e il programmino dove lo reperisco??
Avatar utente
darkside04
Linux 2.4
Linux 2.4
 
Messaggi: 432
Iscritto il: mar nov 23, 2004 0:00
Località: roma

Messaggioda strummer » mar nov 08, 2005 15:25

interessante davvero 'sto programmino che simula ssh, dove si può trovare?
se sai il nome del prog, me lo cerca da me.
grazie ciao
strummer
Linux 2.4
Linux 2.4
 
Messaggi: 276
Iscritto il: mar set 28, 2004 23:00
Località: Firenze


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti