Repository 32bit  Forum
Repository 64bit  Wiki

Qualcuno sta tentando di accedere alla mia Slackware!

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Qualcuno sta tentando di accedere alla mia Slackware!

Messaggioda anycolouryoulike » sab set 15, 2007 22:56

Grazie a Conky ho appena visto dal /var/log/messages che qualcuno sta tentando di accedere al mio sistema via SSH! :shock:
Codice: Seleziona tutto
Sep 15 23:45:00 darkstar sshd[19718]: Did not receive identification string from 121.117.161.47
Sep 15 23:47:16 darkstar sshd[20721]: Failed password for root from 121.117.161.47 port 49903 ssh2
Sep 15 23:47:20 darkstar sshd[20756]: Failed password for root from 121.117.161.47 port 50002 ssh2
Sep 15 23:47:26 darkstar sshd[20786]: Invalid user apple from 121.117.161.47
Sep 15 23:47:26 darkstar sshd[20786]: Failed password for invalid user apple from 121.117.161.47 port 50081 ssh2
Sep 15 23:47:30 darkstar sshd[20825]: Failed password for root from 121.117.161.47 port 50169 ssh2
Sep 15 23:47:33 darkstar sshd[20908]: Invalid user brian from 121.117.161.47
Sep 15 23:47:33 darkstar sshd[20908]: Failed password for invalid user brian from 121.117.161.47 port 50223 ssh2
Sep 15 23:47:37 darkstar sshd[20931]: Failed password for root from 121.117.161.47 port 50283 ssh2
Sep 15 23:47:45 darkstar sshd[20958]: Invalid user andrew from 121.117.161.47
Sep 15 23:47:45 darkstar sshd[20958]: Failed password for invalid user andrew from 121.117.161.47 port 50348 ssh2
Sep 15 23:47:49 darkstar sshd[21013]: Failed password for root from 121.117.161.47 port 50451 ssh2
Sep 15 23:47:52 darkstar sshd[21040]: Invalid user newsroom from 121.117.161.47
Sep 15 23:47:52 darkstar sshd[21040]: Failed password for invalid user newsroom from 121.117.161.47 port 50515 ssh2
Sep 15 23:47:56 darkstar sshd[21065]: Failed password for root from 121.117.161.47 port 50568 ssh2
Sep 15 23:48:11 darkstar sshd[21086]: Invalid user magazine from 121.117.161.47
Sep 15 23:48:11 darkstar sshd[21086]: Failed password for invalid user magazine from 121.117.161.47 port 50624 ssh2
Cosa devo fare? Devo preoccuparmi?
Avatar utente
anycolouryoulike
Packager
Packager
 
Messaggi: 1158
Iscritto il: gio ago 09, 2007 23:00
Slackware: 12.2
Kernel: 2.6.34.8
Desktop: KDE 3.5.10

Messaggioda lamarozzo » sab set 15, 2007 23:33

whois mi ha dato

Codice: Seleziona tutto
netnum: 121.112.0.0 - 121.119.255.255
netname: OCN
descr: NTT Communications Corporation
descr: 1-6 Uchisaiwai-cho 1-chome Chiyoda-ku, Tokyo 100-8019 Japan
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints :abuse@ocn.ad.jp
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20060707
source: APNIC
 
role: Japan Network Information Center
address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047, Japan
country: JP
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed@apnic.net 20041222
changed: hm-changed@apnic.net 20050324
changed: ip-apnic@nic.ad.jp 20051027
source: APNIC
 
inetnum: 121.112.0.0 - 121.119.170.255
netname: PLALA
descr: Plala Networks Inc.
country: JP
admin-c: SA3783JP
tech-c: SA3783JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20060725
changed: apnic-ftp@nic.ad.jp 20061023
source: JPNIC



C'è anche un'indirizzo email per segnalare abusi o cose simili: abuse@ocn.ad.jp

Purtroppo non sono un esperto di sicurezza informatica, ma visto che hanno provato ad accedere come root io farei rifiutare al demone sshd le connessioni come root. Se gli attacchi insistono con iptables imposti poi una regola che escluda completamente l'indirizzo da cui provengono gli attacchi.
Avatar utente
lamarozzo
Linux 2.6
Linux 2.6
 
Messaggi: 732
Iscritto il: mer lug 13, 2005 23:00
Località: Roma
Desktop: xfce
Distribuzione: archlinux

Messaggioda cacao74 » sab set 15, 2007 23:38

Beh.. si, dovresti preoccuparti.
In rete circolano script kiddies ed altra robaccia...
Qualched'uno sta facendo qualche tentativo sulla porta 22 del tuo IP pubblico.

Hai diverse soluzioni per limitare o arginare definitivamente il problema:
- utilizza password robuste e complesse
- cambi porta per quel servizio
- disabiliti completamente il servizio
- limiti l'uso del servizio solo da particolari IP (tcp_wrapper/iptables)
- limiti l'accesso permettendo solo l'uso di chiavi disabilitando l'autenticazione con password
- ecc...

Trova la combinazione migliore per le tue esigenze.
ciao
Avatar utente
cacao74
Linux 1.0
Linux 1.0
 
Messaggi: 65
Iscritto il: sab lug 22, 2006 21:42
Località: Torino
Slackware: 13.37
Kernel: 2.6.37.6
Desktop: fluxbox

Messaggioda kasher » dom set 16, 2007 1:06

quoto cacao74, senò potresti utilizzare una soluzione più elegante, il port knocking in modo da aprire la porta solamente all' evenienza.

kasher.
Avatar utente
kasher
Linux 2.0
Linux 2.0
 
Messaggi: 174
Iscritto il: gio gen 20, 2005 0:00
Slackware: 12.2
Kernel: 2.6.27.7
Desktop: kde 3.5.10

Messaggioda Dani » dom set 16, 2007 1:07

Se usi password non vulnerabili ad attacchi di tipo dizionario non mi preoccuperei piu' di tanto...
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch

Messaggioda simplex » dom set 16, 2007 7:54

Pero' e' sempre una seccatura che riempie i log...
Ora ho l'autenticazione tramite chiavi, prima per limitare il bruteforce sulla 22 usavo questa regola sul firewall (pf openbsd)
Codice: Seleziona tutto
pass in on $ext_if inet proto tcp from any to ($ext_if) port ssh \
   keep state \
   (max-src-conn-rate 2/60, overload <bastards> flush global)

Praticamente mette in blacklist chi tenta due o piu' connnessioni in meno di 60 secondi (ho isdn), la tabella viene flushata ogni ora.

Purtroppo non so come si faccia con iptables..
Avatar utente
simplex
Linux 2.4
Linux 2.4
 
Messaggi: 327
Iscritto il: mar lug 26, 2005 23:00
Slackware: current
Desktop: xfce

Messaggioda slucky » dom set 16, 2007 8:21

Ciao, ti basta disabilitare l'accesso da root a ssh, se non amministri pc in remoto, questo è caldamente consigliato farlo ;)
Ti basta editare il file /etc/ssh/sshd_config e dove leggi:

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes



metti:

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin no


Ora sei a posto.

Ciao :D
Avatar utente
slucky
Iper Master
Iper Master
 
Messaggi: 2379
Iscritto il: mar mag 01, 2007 14:30
Slackware: 14.1
Kernel: default
Desktop: xfce

Messaggioda cacao74 » dom set 16, 2007 8:21

simplex ha scritto:Pero' e' sempre una seccatura che riempie i log...
Praticamente mette in blacklist chi tenta due o piu' connnessioni in meno di 60 secondi (ho isdn), la tabella viene flushata ogni ora.

Purtroppo non so come si faccia con iptables..

Controlla, dalla pagina di manuale di iptables, la descrizione del modulo "limit" per ottenere un comportamento simile a "pf". In rete dovresti trovare anche materiale molto descrittivo.

Anche il consiglio di utilizzare "port knoking" e' molto valido!
ciao
Avatar utente
cacao74
Linux 1.0
Linux 1.0
 
Messaggi: 65
Iscritto il: sab lug 22, 2006 21:42
Località: Torino
Slackware: 13.37
Kernel: 2.6.37.6
Desktop: fluxbox

Messaggioda cacao74 » dom set 16, 2007 8:23

slucky ha scritto:
# Authentication:

#LoginGraceTime 2m
#PermitRootLogin no


Ora sei a posto.

Ciao :D

Forse e' meglio decommentare se si vuole attivare una "feature" altrimenti rimane
attiva la parametrizzazione predefinita. ;-)

ciao
Avatar utente
cacao74
Linux 1.0
Linux 1.0
 
Messaggi: 65
Iscritto il: sab lug 22, 2006 21:42
Località: Torino
Slackware: 13.37
Kernel: 2.6.37.6
Desktop: fluxbox

Messaggioda slucky » dom set 16, 2007 8:34

Certo ssh resta attivo, si dovrebbe proprio disabilitarlo completamente come servizio per stopparlo............però per quanto riguarda il login da root, test di Rkhunter :

* Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... [ OK (Remote root login disabled) ]


Quindi non è necessario decommentare ;)

Saluti a tutti :D
Avatar utente
slucky
Iper Master
Iper Master
 
Messaggi: 2379
Iscritto il: mar mag 01, 2007 14:30
Slackware: 14.1
Kernel: default
Desktop: xfce

Messaggioda cacao74 » dom set 16, 2007 8:57

slucky ha scritto:Quindi non è necessario decommentare ;)

mmm... non mi hai convinto! :-)
cito il man di sshd_config
DESCRIPTION
sshd(8) reads configuration data from /etc/ssh/sshd_config (or the file
specified with -f on the command line). The file contains keyword-argu-
ment pairs, one per line. Lines starting with '#' and empty lines are
interpreted as comments.
Arguments may optionally be enclosed in double
quotes (") in order to represent arguments containing spaces.
...
...
...
PermitRootLogin
Specifies whether root can log in using ssh(1). The argument
must be ``yes'', ``without-password'', ``forced-commands-only'',
or ``no''. The default is ``yes''.
...

ciao!
Avatar utente
cacao74
Linux 1.0
Linux 1.0
 
Messaggi: 65
Iscritto il: sab lug 22, 2006 21:42
Località: Torino
Slackware: 13.37
Kernel: 2.6.37.6
Desktop: fluxbox

Messaggioda slucky » dom set 16, 2007 9:10

Beh, polemica sterile, così la disabilitazione funziona.............poi ognuno faccia come crede, son fatti suoi alla fine................


Risaluti a tutti

:lol:
Avatar utente
slucky
Iper Master
Iper Master
 
Messaggi: 2379
Iscritto il: mar mag 01, 2007 14:30
Slackware: 14.1
Kernel: default
Desktop: xfce

Messaggioda anycolouryoulike » dom set 16, 2007 10:40

A me se non decommento la linea il login di root rimane abilitato, decommentandola invece non accetta la password anche se è giusta, quindi presumo che sia disabilitato, quindi quoto cacao74.
Non ho capito perché provano intrusioni di questo tipo: è impossibile indovinare l'user e la password!
Avatar utente
anycolouryoulike
Packager
Packager
 
Messaggi: 1158
Iscritto il: gio ago 09, 2007 23:00
Slackware: 12.2
Kernel: 2.6.34.8
Desktop: KDE 3.5.10

Messaggioda j0kers » dom set 16, 2007 11:13

Esistono vari script che ti fanno il brute della password inoltre esistono svariati exploit che sfuttano i bug dei demoni di sistema e per sshd ce ne sono a bizzeffe (ovviamente non tutte le versioni sshd sono buggate) 8) 8) 8)
Avatar utente
j0kers
Linux 2.4
Linux 2.4
 
Messaggi: 418
Iscritto il: dom lug 22, 2007 0:31
Slackware: 13
Kernel: 2.6.32
Desktop: xfce4

Messaggioda cacao74 » dom set 16, 2007 11:13

anycolouryoulike ha scritto:Non ho capito perché provano intrusioni di questo tipo: è impossibile indovinare l'user e la password!

Non e' proprio impossibile... sicuramente e' piu' facile tentare un accesso con il login di "root", ma essendo script automatizzati utilizzano grossi dizionari di accout e password e.. a loro il tempo non manca! ;-)

ciao
Avatar utente
cacao74
Linux 1.0
Linux 1.0
 
Messaggi: 65
Iscritto il: sab lug 22, 2006 21:42
Località: Torino
Slackware: 13.37
Kernel: 2.6.37.6
Desktop: fluxbox

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

cron