Repository 32bit  Forum
Repository 64bit  Wiki

Attacco tramite ssh

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Attacco tramite ssh

Messaggioda manublade » dom ago 06, 2006 9:55

Ciao ragazzi, fortunatamanete ho il file /var/log/messages che mi scorre sempre su desktop e così ho potuto notare i seguenti messaggi.

Did not receive identification string from 80.51.250.106
Aug 6 10:43:27 manublade sshd[4494]: Failed password for root from 80.51.250.106 port 46238 ssh2
Aug 6 10:43:28 manublade sshd[4499]: Invalid user sifak from 80.51.250.106
Aug 6 10:43:28 manublade sshd[4499]: Failed password for invalid user sifak from 80.51.250.106 port 46281 ssh2
Aug 6 10:43:29 manublade sshd[4503]: Invalid user slasher from 80.51.250.106
Aug 6 10:43:29 manublade sshd[4503]: Failed password for invalid user slasher from 80.51.250.106 port 46297 ssh2
Aug 6 10:43:30 manublade sshd[4507]: Invalid user fluffy from 80.51.250.106
Aug 6 10:43:30 manublade sshd[4507]: Failed password for invalid user fluffy from 80.51.250.106 port 46308 ssh2
Aug 6 10:43:31 manublade sshd[4511]: Invalid user admin from 80.51.250.106
Aug 6 10:43:31 manublade sshd[4511]: Failed password for invalid user admin from 80.51.250.106 port 46315 ssh2
...omissis
Aug 6 10:44:11 manublade sshd[4667]: Failed password for root from 80.51.250.106 port 46752 ssh2
Aug 6 10:44:12 manublade sshd[4671]: Invalid user admin from 80.51.250.106
Aug 6 10:44:12 manublade sshd[4671]: Failed password for invalid user admin from 80.51.250.106 port 46763 ssh2
Aug 6 10:44:13 manublade sshd[4675]: Invalid user admin from 80.51.250.106
Aug 6 10:44:13 manublade sshd[4675]: Failed password for invalid user admin from 80.51.250.106 port 46777 ssh2

...omissis
Aug 6 10:45:55 manublade sshd[5051]: Invalid user add from 80.51.250.106
Aug 6 10:45:55 manublade sshd[5051]: Failed password for invalid user add from 80.51.250.106 port 47888 ssh2
Aug 6 10:45:56 manublade sshd[5055]: Invalid user michael from 80.51.250.106
Aug 6 10:45:56 manublade sshd[5055]: Failed password for invalid user michael from 80.51.250.106 port 47897 ssh2
Aug 6 10:45:57 manublade sshd[5059]: Invalid user adrian from 80.51.250.106
Aug 6 10:45:57 manublade sshd[5059]: Failed password for invalid user adrian from 80.51.250.106 port 47907 ssh2
Aug 6 10:45:58 manublade sshd[5064]: Invalid user Ionut from 80.51.250.106
Aug 6 10:45:58 manublade sshd[5064]: Failed password for invalid user Ionut from 80.51.250.106 port 47915 ssh2
Aug 6 10:45:59 manublade sshd[5068]: Invalid user telnet from 80.51.250.106
Aug 6 10:45:59 manublade sshd[5068]: Failed password for invalid user telnet from 80.51.250.106 port 47923 ssh2
Aug 6 10:46:00 manublade sshd[5072]: Invalid user irc from 80.51.250.106
Aug 6 10:46:00 manublade sshd[5072]: Failed password for invalid user irc from 80.51.250.106 port 47937 ssh2
Aug 6 10:46:01 manublade sshd[5076]: Invalid user bnc from 80.51.250.106
Aug 6 10:46:02 manublade sshd[5076]: Failed password for invalid user bnc from 80.51.250.106 port 47945 ssh2
Aug 6 10:46:03 manublade sshd[5080]: Invalid user psybnc from 80.51.250.106
Aug 6 10:46:03 manublade sshd[5080]: Failed password for invalid user psybnc from 80.51.250.106 port 47954 ssh2
Aug 6 10:46:04 manublade sshd[5084]: Invalid user is from 80.51.250.106
Aug 6 10:46:04 manublade sshd[5084]: Failed password for invalid user is from 80.51.250.106 port 47961 ssh2
Aug 6 10:46:05 manublade sshd[5088]: Invalid user Exit from 80.51.250.106
Aug 6 10:46:05 manublade sshd[5088]: Failed password for invalid user Exit from 80.51.250.106 port 47971 ssh2

...omissis
Aug 6 10:47:37 manublade sshd[5525]: Invalid user work from 80.51.250.106
Aug 6 10:47:37 manublade sshd[5525]: Failed password for invalid user work from 80.51.250.106 port 48823 ssh2
Aug 6 10:47:39 manublade sshd[5530]: Invalid user pico from 80.51.250.106
Aug 6 10:47:39 manublade sshd[5530]: Failed password for invalid user pico from 80.51.250.106 port 48829


Appena notati ho immediatamente chiuso il server ssh. Oltre che a tenerlo spento, c'è un modo per difendersi da questo tipo di attacchi? Anche se so bene che individuare un nome utente ed una password non è sempre facile vorrei evitare attacchi del genere in futuro.
Il mio pc è collegato tramite modem Lynksys wag54gs.
Grazie
manublade
Linux 2.4
Linux 2.4
 
Messaggi: 499
Iscritto il: dom gen 08, 2006 22:21

Messaggioda airex » dom ago 06, 2006 10:13

potresti per prima cosa "spostare" il server ssh in modo che ascolti su una porta che non sia la 22, magari lo metti su una sopra la 1024.

Potresti anche mettere delle regole di iptables che diano la possibilità di contattare la porta da te scelta solo da determinati IP.

In ogni caso disabiliterei, se non l'hai già fatto, la possibilità di connettersi via ssh direttamente come root.
Avatar utente
airex
Linux 2.0
Linux 2.0
 
Messaggi: 121
Iscritto il: sab lug 08, 2006 10:03
Località: Milano
Slackware: -current
Desktop: xfce
Distribuzione: Slackware64

Messaggioda albatros » dom ago 06, 2006 10:40

Se dai
Codice: Seleziona tutto
whois 80.51.250.106

ottieni una serie di indirizzi e-mail dell'ISP polacco da cui è provenuto l'attacco (almeno nell'ultimo tratto) a cui puoi segnalare l'accaduto.
Io lo farei...
Se non puoi, per vari motivi, selezionare gli ip da cui consentire le connessioni, puoi provare la tecnica del port knocking...
La raccomandazione di scegliere e imporre agli utenti password robuste è scontata...

Comunque l'attacco pare fatto da un tool automatico non molto pericoloso...
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04

Messaggioda manublade » dom ago 06, 2006 12:54

Ok, vedrò di fare quello che dite.
manublade
Linux 2.4
Linux 2.4
 
Messaggi: 499
Iscritto il: dom gen 08, 2006 22:21

Messaggioda kobaiachi » dom ago 06, 2006 15:17

disabilita l'accesso con password ed abilita l'accesso con chiave rsa. accetta solo connessioni con protocollo ssh 2, disabilita l'accesso come root attraverso ssh .
kobaiachi
Linux 3.x
Linux 3.x
 
Messaggi: 1368
Iscritto il: mer lug 13, 2005 23:00
Località: roma

Re: Attacco tramite ssh

Messaggioda darkside04 » lun ago 07, 2006 18:15

manublade ha scritto:Ciao ragazzi, fortunatamanete ho il file /var/log/messages che mi scorre sempre su desktop e così ho potuto notare i seguenti messaggi.
Grazie


cosa usi per far scorrere il file /var/log/messages sol desktop????
Avatar utente
darkside04
Linux 2.4
Linux 2.4
 
Messaggi: 432
Iscritto il: mar nov 23, 2004 0:00
Località: roma

Messaggioda jacobbe » lun ago 07, 2006 21:36

Tranquillo su ogni macchina che ho gestito ne ho trovati centinaia di questi banali attacchi basati su dizionario...
Sono innoqui a meno che non hai un utente di nome paolo con password rossi :D
Avatar utente
jacobbe
Linux 1.0
Linux 1.0
 
Messaggi: 76
Iscritto il: sab mag 14, 2005 23:00
Località: Treviso, Padova
Slackware: 12.0

Re: Attacco tramite ssh

Messaggioda IceSlack » ven ago 11, 2006 14:28

darkside_04 ha scritto:
manublade ha scritto:Ciao ragazzi, fortunatamanete ho il file /var/log/messages che mi scorre sempre su desktop e così ho potuto notare i seguenti messaggi.
Grazie


cosa usi per far scorrere il file /var/log/messages sol desktop????

lo vorrei sapere anche io visto che e' da 1 vita che cerco quacosa cosi'

emm non si puo' impostare che dopo 3 login falliti non ti fa piu' ritentare per 1 ora?da quaell'ip
Avatar utente
IceSlack
Linux 3.x
Linux 3.x
 
Messaggi: 1313
Iscritto il: dom ott 30, 2005 13:27

Re: Attacco tramite ssh

Messaggioda darkside04 » mer ago 16, 2006 1:13

darkside_04 ha scritto:
manublade ha scritto:Ciao ragazzi, fortunatamanete ho il file /var/log/messages che mi scorre sempre su desktop e così ho potuto notare i seguenti messaggi.
Grazie


cosa usi per far scorrere il file /var/log/messages sol desktop????



Manublade se non ti spiace puoi darmi/darci info sul progamma usato per far scorrere il file /var/log/messages su desktop sarei molto interessato:?: :?:

Thank's
Avatar utente
darkside04
Linux 2.4
Linux 2.4
 
Messaggi: 432
Iscritto il: mar nov 23, 2004 0:00
Località: roma

Messaggioda Firetux » mer ago 16, 2006 9:18

Avatar utente
Firetux
Linux 3.x
Linux 3.x
 
Messaggi: 1465
Iscritto il: mer giu 09, 2004 23:00
Località: Lecco

Messaggioda Heidegger » mer ago 16, 2006 14:03

Scusate l'ignoranza, ma per far scorrere in maniera semplice, pulita (alla Slackware per intenderci!!) i log, non va bene aprire e lasciare senza bordi una piccola shell a lato dello schermo e dare un bel
tail -f /var/log/messages
???
Per me va più che bene senza starsi a complicare la vita con vari programmini.
Poi non so se voi intendevate un qualche cosa di diverso per "scorrere" i messaggi
Così è comodo perchè è in real-time
Un saluto,
Heidegger
Avatar utente
Heidegger
Linux 2.4
Linux 2.4
 
Messaggi: 246
Iscritto il: dom mar 27, 2005 23:00
Località: Roma

Messaggioda Firetux » mer ago 16, 2006 14:12

il problema penso è che non si hanno i permessi sul file del log, e solo root può farlo
Avatar utente
Firetux
Linux 3.x
Linux 3.x
 
Messaggi: 1465
Iscritto il: mer giu 09, 2004 23:00
Località: Lecco

Messaggioda napoleone1981 » mer ago 16, 2006 14:28

il problema penso è che non si hanno i permessi sul file del log, e solo root può farlo


Ma anche con un programma apposito solo root puo farlo... Non è che con un prog cambiano i permessi del file... O forse ho capito male quello che intendevi???
Avatar utente
napoleone1981
Linux 2.4
Linux 2.4
 
Messaggi: 380
Iscritto il: mer ago 25, 2004 23:00
Località: Sant'Elena

Messaggioda Heidegger » mer ago 16, 2006 14:37

Va bene la sicurezza, ma basta con le p***e mentali!
Tenere una sessione root aperta per scorrere il file messages non mi pare così
"tragica" come faccenda.
Oppure basta dare i diritti di lettura con un bel chmod all'utente e via.
Un saluto
Avatar utente
Heidegger
Linux 2.4
Linux 2.4
 
Messaggi: 246
Iscritto il: dom mar 27, 2005 23:00
Località: Roma

Messaggioda nowhere » gio ago 17, 2006 8:01

http://www.goof.com/pcg/marc/root-tail.html

io lo uso e va benone.
Si può ovviamente fare anche da shell con tail.
Ciao
Avatar utente
nowhere
Linux 1.0
Linux 1.0
 
Messaggi: 44
Iscritto il: dom mar 27, 2005 0:00

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Yahoo [Bot] e 1 ospite