Attacco tramite ssh
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Attacco tramite ssh
Ciao ragazzi, fortunatamanete ho il file /var/log/messages che mi scorre sempre su desktop e così ho potuto notare i seguenti messaggi.
Did not receive identification string from 80.51.250.106
Aug 6 10:43:27 manublade sshd[4494]: Failed password for root from 80.51.250.106 port 46238 ssh2
Aug 6 10:43:28 manublade sshd[4499]: Invalid user sifak from 80.51.250.106
Aug 6 10:43:28 manublade sshd[4499]: Failed password for invalid user sifak from 80.51.250.106 port 46281 ssh2
Aug 6 10:43:29 manublade sshd[4503]: Invalid user slasher from 80.51.250.106
Aug 6 10:43:29 manublade sshd[4503]: Failed password for invalid user slasher from 80.51.250.106 port 46297 ssh2
Aug 6 10:43:30 manublade sshd[4507]: Invalid user fluffy from 80.51.250.106
Aug 6 10:43:30 manublade sshd[4507]: Failed password for invalid user fluffy from 80.51.250.106 port 46308 ssh2
Aug 6 10:43:31 manublade sshd[4511]: Invalid user admin from 80.51.250.106
Aug 6 10:43:31 manublade sshd[4511]: Failed password for invalid user admin from 80.51.250.106 port 46315 ssh2
...omissis
Aug 6 10:44:11 manublade sshd[4667]: Failed password for root from 80.51.250.106 port 46752 ssh2
Aug 6 10:44:12 manublade sshd[4671]: Invalid user admin from 80.51.250.106
Aug 6 10:44:12 manublade sshd[4671]: Failed password for invalid user admin from 80.51.250.106 port 46763 ssh2
Aug 6 10:44:13 manublade sshd[4675]: Invalid user admin from 80.51.250.106
Aug 6 10:44:13 manublade sshd[4675]: Failed password for invalid user admin from 80.51.250.106 port 46777 ssh2
...omissis
Aug 6 10:45:55 manublade sshd[5051]: Invalid user add from 80.51.250.106
Aug 6 10:45:55 manublade sshd[5051]: Failed password for invalid user add from 80.51.250.106 port 47888 ssh2
Aug 6 10:45:56 manublade sshd[5055]: Invalid user michael from 80.51.250.106
Aug 6 10:45:56 manublade sshd[5055]: Failed password for invalid user michael from 80.51.250.106 port 47897 ssh2
Aug 6 10:45:57 manublade sshd[5059]: Invalid user adrian from 80.51.250.106
Aug 6 10:45:57 manublade sshd[5059]: Failed password for invalid user adrian from 80.51.250.106 port 47907 ssh2
Aug 6 10:45:58 manublade sshd[5064]: Invalid user Ionut from 80.51.250.106
Aug 6 10:45:58 manublade sshd[5064]: Failed password for invalid user Ionut from 80.51.250.106 port 47915 ssh2
Aug 6 10:45:59 manublade sshd[5068]: Invalid user telnet from 80.51.250.106
Aug 6 10:45:59 manublade sshd[5068]: Failed password for invalid user telnet from 80.51.250.106 port 47923 ssh2
Aug 6 10:46:00 manublade sshd[5072]: Invalid user irc from 80.51.250.106
Aug 6 10:46:00 manublade sshd[5072]: Failed password for invalid user irc from 80.51.250.106 port 47937 ssh2
Aug 6 10:46:01 manublade sshd[5076]: Invalid user bnc from 80.51.250.106
Aug 6 10:46:02 manublade sshd[5076]: Failed password for invalid user bnc from 80.51.250.106 port 47945 ssh2
Aug 6 10:46:03 manublade sshd[5080]: Invalid user psybnc from 80.51.250.106
Aug 6 10:46:03 manublade sshd[5080]: Failed password for invalid user psybnc from 80.51.250.106 port 47954 ssh2
Aug 6 10:46:04 manublade sshd[5084]: Invalid user is from 80.51.250.106
Aug 6 10:46:04 manublade sshd[5084]: Failed password for invalid user is from 80.51.250.106 port 47961 ssh2
Aug 6 10:46:05 manublade sshd[5088]: Invalid user Exit from 80.51.250.106
Aug 6 10:46:05 manublade sshd[5088]: Failed password for invalid user Exit from 80.51.250.106 port 47971 ssh2
...omissis
Aug 6 10:47:37 manublade sshd[5525]: Invalid user work from 80.51.250.106
Aug 6 10:47:37 manublade sshd[5525]: Failed password for invalid user work from 80.51.250.106 port 48823 ssh2
Aug 6 10:47:39 manublade sshd[5530]: Invalid user pico from 80.51.250.106
Aug 6 10:47:39 manublade sshd[5530]: Failed password for invalid user pico from 80.51.250.106 port 48829
Appena notati ho immediatamente chiuso il server ssh. Oltre che a tenerlo spento, c'è un modo per difendersi da questo tipo di attacchi? Anche se so bene che individuare un nome utente ed una password non è sempre facile vorrei evitare attacchi del genere in futuro.
Il mio pc è collegato tramite modem Lynksys wag54gs.
Grazie
Did not receive identification string from 80.51.250.106
Aug 6 10:43:27 manublade sshd[4494]: Failed password for root from 80.51.250.106 port 46238 ssh2
Aug 6 10:43:28 manublade sshd[4499]: Invalid user sifak from 80.51.250.106
Aug 6 10:43:28 manublade sshd[4499]: Failed password for invalid user sifak from 80.51.250.106 port 46281 ssh2
Aug 6 10:43:29 manublade sshd[4503]: Invalid user slasher from 80.51.250.106
Aug 6 10:43:29 manublade sshd[4503]: Failed password for invalid user slasher from 80.51.250.106 port 46297 ssh2
Aug 6 10:43:30 manublade sshd[4507]: Invalid user fluffy from 80.51.250.106
Aug 6 10:43:30 manublade sshd[4507]: Failed password for invalid user fluffy from 80.51.250.106 port 46308 ssh2
Aug 6 10:43:31 manublade sshd[4511]: Invalid user admin from 80.51.250.106
Aug 6 10:43:31 manublade sshd[4511]: Failed password for invalid user admin from 80.51.250.106 port 46315 ssh2
...omissis
Aug 6 10:44:11 manublade sshd[4667]: Failed password for root from 80.51.250.106 port 46752 ssh2
Aug 6 10:44:12 manublade sshd[4671]: Invalid user admin from 80.51.250.106
Aug 6 10:44:12 manublade sshd[4671]: Failed password for invalid user admin from 80.51.250.106 port 46763 ssh2
Aug 6 10:44:13 manublade sshd[4675]: Invalid user admin from 80.51.250.106
Aug 6 10:44:13 manublade sshd[4675]: Failed password for invalid user admin from 80.51.250.106 port 46777 ssh2
...omissis
Aug 6 10:45:55 manublade sshd[5051]: Invalid user add from 80.51.250.106
Aug 6 10:45:55 manublade sshd[5051]: Failed password for invalid user add from 80.51.250.106 port 47888 ssh2
Aug 6 10:45:56 manublade sshd[5055]: Invalid user michael from 80.51.250.106
Aug 6 10:45:56 manublade sshd[5055]: Failed password for invalid user michael from 80.51.250.106 port 47897 ssh2
Aug 6 10:45:57 manublade sshd[5059]: Invalid user adrian from 80.51.250.106
Aug 6 10:45:57 manublade sshd[5059]: Failed password for invalid user adrian from 80.51.250.106 port 47907 ssh2
Aug 6 10:45:58 manublade sshd[5064]: Invalid user Ionut from 80.51.250.106
Aug 6 10:45:58 manublade sshd[5064]: Failed password for invalid user Ionut from 80.51.250.106 port 47915 ssh2
Aug 6 10:45:59 manublade sshd[5068]: Invalid user telnet from 80.51.250.106
Aug 6 10:45:59 manublade sshd[5068]: Failed password for invalid user telnet from 80.51.250.106 port 47923 ssh2
Aug 6 10:46:00 manublade sshd[5072]: Invalid user irc from 80.51.250.106
Aug 6 10:46:00 manublade sshd[5072]: Failed password for invalid user irc from 80.51.250.106 port 47937 ssh2
Aug 6 10:46:01 manublade sshd[5076]: Invalid user bnc from 80.51.250.106
Aug 6 10:46:02 manublade sshd[5076]: Failed password for invalid user bnc from 80.51.250.106 port 47945 ssh2
Aug 6 10:46:03 manublade sshd[5080]: Invalid user psybnc from 80.51.250.106
Aug 6 10:46:03 manublade sshd[5080]: Failed password for invalid user psybnc from 80.51.250.106 port 47954 ssh2
Aug 6 10:46:04 manublade sshd[5084]: Invalid user is from 80.51.250.106
Aug 6 10:46:04 manublade sshd[5084]: Failed password for invalid user is from 80.51.250.106 port 47961 ssh2
Aug 6 10:46:05 manublade sshd[5088]: Invalid user Exit from 80.51.250.106
Aug 6 10:46:05 manublade sshd[5088]: Failed password for invalid user Exit from 80.51.250.106 port 47971 ssh2
...omissis
Aug 6 10:47:37 manublade sshd[5525]: Invalid user work from 80.51.250.106
Aug 6 10:47:37 manublade sshd[5525]: Failed password for invalid user work from 80.51.250.106 port 48823 ssh2
Aug 6 10:47:39 manublade sshd[5530]: Invalid user pico from 80.51.250.106
Aug 6 10:47:39 manublade sshd[5530]: Failed password for invalid user pico from 80.51.250.106 port 48829
Appena notati ho immediatamente chiuso il server ssh. Oltre che a tenerlo spento, c'è un modo per difendersi da questo tipo di attacchi? Anche se so bene che individuare un nome utente ed una password non è sempre facile vorrei evitare attacchi del genere in futuro.
Il mio pc è collegato tramite modem Lynksys wag54gs.
Grazie
- airex
- Linux 1.x
- Messaggi: 121
- Iscritto il: sab 8 lug 2006, 11:03
- Slackware: -current
- Desktop: xfce
- Distribuzione: Slackware64
- Località: Milano
- Contatta:
potresti per prima cosa "spostare" il server ssh in modo che ascolti su una porta che non sia la 22, magari lo metti su una sopra la 1024.
Potresti anche mettere delle regole di iptables che diano la possibilità di contattare la porta da te scelta solo da determinati IP.
In ogni caso disabiliterei, se non l'hai già fatto, la possibilità di connettersi via ssh direttamente come root.
Potresti anche mettere delle regole di iptables che diano la possibilità di contattare la porta da te scelta solo da determinati IP.
In ogni caso disabiliterei, se non l'hai già fatto, la possibilità di connettersi via ssh direttamente come root.
- albatros
- Iper Master
- Messaggi: 2093
- Iscritto il: sab 4 feb 2006, 13:59
- Kernel: 5.19.0
- Desktop: gnome and lxqt
- Distribuzione: ubuntu 22.04
- Località: Darmstadt - Germania
Se dai
ottieni una serie di indirizzi e-mail dell'ISP polacco da cui è provenuto l'attacco (almeno nell'ultimo tratto) a cui puoi segnalare l'accaduto.
Io lo farei...
Se non puoi, per vari motivi, selezionare gli ip da cui consentire le connessioni, puoi provare la tecnica del port knocking...
La raccomandazione di scegliere e imporre agli utenti password robuste è scontata...
Comunque l'attacco pare fatto da un tool automatico non molto pericoloso...
Codice: Seleziona tutto
whois 80.51.250.106
Io lo farei...
Se non puoi, per vari motivi, selezionare gli ip da cui consentire le connessioni, puoi provare la tecnica del port knocking...
La raccomandazione di scegliere e imporre agli utenti password robuste è scontata...
Comunque l'attacco pare fatto da un tool automatico non molto pericoloso...
- darkside04
- Linux 2.x
- Messaggi: 432
- Iscritto il: mar 23 nov 2004, 0:00
- Località: roma
Re: Attacco tramite ssh
cosa usi per far scorrere il file /var/log/messages sol desktop????manublade ha scritto:Ciao ragazzi, fortunatamanete ho il file /var/log/messages che mi scorre sempre su desktop e così ho potuto notare i seguenti messaggi.
Grazie
Re: Attacco tramite ssh
lo vorrei sapere anche io visto che e' da 1 vita che cerco quacosa cosi'darkside_04 ha scritto:cosa usi per far scorrere il file /var/log/messages sol desktop????manublade ha scritto:Ciao ragazzi, fortunatamanete ho il file /var/log/messages che mi scorre sempre su desktop e così ho potuto notare i seguenti messaggi.
Grazie
emm non si puo' impostare che dopo 3 login falliti non ti fa piu' ritentare per 1 ora?da quaell'ip
- darkside04
- Linux 2.x
- Messaggi: 432
- Iscritto il: mar 23 nov 2004, 0:00
- Località: roma
Re: Attacco tramite ssh
darkside_04 ha scritto:cosa usi per far scorrere il file /var/log/messages sol desktop????manublade ha scritto:Ciao ragazzi, fortunatamanete ho il file /var/log/messages che mi scorre sempre su desktop e così ho potuto notare i seguenti messaggi.
Grazie
Manublade se non ti spiace puoi darmi/darci info sul progamma usato per far scorrere il file /var/log/messages su desktop sarei molto interessato:?:
Thank's
io in google ho trovato questo:
http://wiki.gentoo-italia.net/index.php ... _root-tail
http://wiki.gentoo-italia.net/index.php ... _root-tail
Scusate l'ignoranza, ma per far scorrere in maniera semplice, pulita (alla Slackware per intenderci!!) i log, non va bene aprire e lasciare senza bordi una piccola shell a lato dello schermo e dare un bel
tail -f /var/log/messages
???
Per me va più che bene senza starsi a complicare la vita con vari programmini.
Poi non so se voi intendevate un qualche cosa di diverso per "scorrere" i messaggi
Così è comodo perchè è in real-time
Un saluto,
Heidegger
tail -f /var/log/messages
???
Per me va più che bene senza starsi a complicare la vita con vari programmini.
Poi non so se voi intendevate un qualche cosa di diverso per "scorrere" i messaggi
Così è comodo perchè è in real-time
Un saluto,
Heidegger
- napoleone1981
- Linux 2.x
- Messaggi: 380
- Iscritto il: gio 26 ago 2004, 0:00
- Località: Sant'Elena
http://www.goof.com/pcg/marc/root-tail.html
io lo uso e va benone.
Si può ovviamente fare anche da shell con tail.
Ciao
io lo uso e va benone.
Si può ovviamente fare anche da shell con tail.
Ciao