Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Sep 15 23:45:00 darkstar sshd[19718]: Did not receive identification string from 121.117.161.47
Sep 15 23:47:16 darkstar sshd[20721]: Failed password for root from 121.117.161.47 port 49903 ssh2
Sep 15 23:47:20 darkstar sshd[20756]: Failed password for root from 121.117.161.47 port 50002 ssh2
Sep 15 23:47:26 darkstar sshd[20786]: Invalid user apple from 121.117.161.47
Sep 15 23:47:26 darkstar sshd[20786]: Failed password for invalid user apple from 121.117.161.47 port 50081 ssh2
Sep 15 23:47:30 darkstar sshd[20825]: Failed password for root from 121.117.161.47 port 50169 ssh2
Sep 15 23:47:33 darkstar sshd[20908]: Invalid user brian from 121.117.161.47
Sep 15 23:47:33 darkstar sshd[20908]: Failed password for invalid user brian from 121.117.161.47 port 50223 ssh2
Sep 15 23:47:37 darkstar sshd[20931]: Failed password for root from 121.117.161.47 port 50283 ssh2
Sep 15 23:47:45 darkstar sshd[20958]: Invalid user andrew from 121.117.161.47
Sep 15 23:47:45 darkstar sshd[20958]: Failed password for invalid user andrew from 121.117.161.47 port 50348 ssh2
Sep 15 23:47:49 darkstar sshd[21013]: Failed password for root from 121.117.161.47 port 50451 ssh2
Sep 15 23:47:52 darkstar sshd[21040]: Invalid user newsroom from 121.117.161.47
Sep 15 23:47:52 darkstar sshd[21040]: Failed password for invalid user newsroom from 121.117.161.47 port 50515 ssh2
Sep 15 23:47:56 darkstar sshd[21065]: Failed password for root from 121.117.161.47 port 50568 ssh2
Sep 15 23:48:11 darkstar sshd[21086]: Invalid user magazine from 121.117.161.47
Sep 15 23:48:11 darkstar sshd[21086]: Failed password for invalid user magazine from 121.117.161.47 port 50624 ssh2
netnum: 121.112.0.0 - 121.119.255.255
netname: OCN
descr: NTT Communications Corporation
descr: 1-6 Uchisaiwai-cho 1-chome Chiyoda-ku, Tokyo 100-8019 Japan
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints :abuse@ocn.ad.jp
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20060707
source: APNIC
role: Japan Network Information Center
address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047, Japan
country: JP
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed@apnic.net 20041222
changed: hm-changed@apnic.net 20050324
changed: ip-apnic@nic.ad.jp 20051027
source: APNIC
inetnum: 121.112.0.0 - 121.119.170.255
netname: PLALA
descr: Plala Networks Inc.
country: JP
admin-c: SA3783JP
tech-c: SA3783JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20060725
changed: apnic-ftp@nic.ad.jp 20061023
source: JPNIC
C'è anche un'indirizzo email per segnalare abusi o cose simili: abuse@ocn.ad.jp
Purtroppo non sono un esperto di sicurezza informatica, ma visto che hanno provato ad accedere come root io farei rifiutare al demone sshd le connessioni come root. Se gli attacchi insistono con iptables imposti poi una regola che escluda completamente l'indirizzo da cui provengono gli attacchi.
Beh.. si, dovresti preoccuparti.
In rete circolano script kiddies ed altra robaccia...
Qualched'uno sta facendo qualche tentativo sulla porta 22 del tuo IP pubblico.
Hai diverse soluzioni per limitare o arginare definitivamente il problema:
- utilizza password robuste e complesse
- cambi porta per quel servizio
- disabiliti completamente il servizio
- limiti l'uso del servizio solo da particolari IP (tcp_wrapper/iptables)
- limiti l'accesso permettendo solo l'uso di chiavi disabilitando l'autenticazione con password
- ecc...
Trova la combinazione migliore per le tue esigenze.
ciao
Pero' e' sempre una seccatura che riempie i log...
Ora ho l'autenticazione tramite chiavi, prima per limitare il bruteforce sulla 22 usavo questa regola sul firewall (pf openbsd)
Ciao, ti basta disabilitare l'accesso da root a ssh, se non amministri pc in remoto, questo è caldamente consigliato farlo
Ti basta editare il file /etc/ssh/sshd_config e dove leggi:
simplex ha scritto:Pero' e' sempre una seccatura che riempie i log...
Praticamente mette in blacklist chi tenta due o piu' connnessioni in meno di 60 secondi (ho isdn), la tabella viene flushata ogni ora.
Purtroppo non so come si faccia con iptables..
Controlla, dalla pagina di manuale di iptables, la descrizione del modulo "limit" per ottenere un comportamento simile a "pf". In rete dovresti trovare anche materiale molto descrittivo.
Anche il consiglio di utilizzare "port knoking" e' molto valido!
ciao
Certo ssh resta attivo, si dovrebbe proprio disabilitarlo completamente come servizio per stopparlo............però per quanto riguarda il login da root, test di Rkhunter :
* Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... [ OK (Remote root login disabled) ]
slucky ha scritto:
Quindi non è necessario decommentare ;)
mmm... non mi hai convinto! :-)
cito il man di sshd_config
DESCRIPTION
sshd(8) reads configuration data from /etc/ssh/sshd_config (or the file
specified with -f on the command line). The file contains keyword-argu-
ment pairs, one per line. Lines starting with '#' and empty lines are
interpreted as comments. Arguments may optionally be enclosed in double
quotes (") in order to represent arguments containing spaces.
...
...
... PermitRootLogin
Specifies whether root can log in using ssh(1). The argument
must be ``yes'', ``without-password'', ``forced-commands-only'',
or ``no''. The default is ``yes''.
...
A me se non decommento la linea il login di root rimane abilitato, decommentandola invece non accetta la password anche se è giusta, quindi presumo che sia disabilitato, quindi quoto cacao74.
Non ho capito perché provano intrusioni di questo tipo: è impossibile indovinare l'user e la password!
Esistono vari script che ti fanno il brute della password inoltre esistono svariati exploit che sfuttano i bug dei demoni di sistema e per sshd ce ne sono a bizzeffe (ovviamente non tutte le versioni sshd sono buggate)
anycolouryoulike ha scritto:Non ho capito perché provano intrusioni di questo tipo: è impossibile indovinare l'user e la password!
Non e' proprio impossibile... sicuramente e' piu' facile tentare un accesso con il login di "root", ma essendo script automatizzati utilizzano grossi dizionari di accout e password e.. a loro il tempo non manca!