[RISOLTO] secondo voi è un attacco hacker???

Messaggio da **Bakkio2** » gio 26 ott 2006, 0:19

ho bisogno di un parere, stasera tornando a casa, mi sono trovato il server spento.
Permettendo il fatto che gli unici server aperti sono:
Ftp, con account ristretti
apache
sshd, con un unico account, che non è root.
Se posto cat /var/log/messages, mi da:

Codice: Seleziona tutto

Oct 24 23:54:38 b2s /usr/sbin/gpm[2285]: imps2: Auto-detected intellimouse PS/2
Oct 25 00:14:20 b2s -- MARK --
Oct 25 00:34:20 b2s -- MARK --
Oct 25 00:54:20 b2s -- MARK --
Oct 25 01:14:20 b2s -- MARK --
Oct 25 01:34:20 b2s -- MARK --
Oct 25 01:54:20 b2s -- MARK --
Oct 25 02:14:20 b2s -- MARK --
Oct 25 02:34:20 b2s -- MARK --
Oct 25 02:54:20 b2s -- MARK --
Oct 25 03:14:21 b2s -- MARK --
Oct 25 03:34:21 b2s -- MARK --
Oct 25 03:54:21 b2s -- MARK --
Oct 25 04:14:21 b2s -- MARK --
Oct 25 04:34:21 b2s -- MARK --
Oct 25 04:54:21 b2s -- MARK --
Oct 25 05:14:21 b2s -- MARK --
Oct 25 05:34:21 b2s -- MARK --
Oct 25 05:54:21 b2s -- MARK --
Oct 25 06:14:21 b2s -- MARK --
Oct 25 06:34:21 b2s -- MARK --
Oct 25 06:54:21 b2s -- MARK --
Oct 25 07:14:21 b2s -- MARK --
Oct 25 07:34:22 b2s -- MARK --
Oct 25 07:54:22 b2s -- MARK --
Oct 25 08:14:22 b2s -- MARK --
Oct 25 08:34:22 b2s -- MARK --
Oct 25 08:54:22 b2s -- MARK --
Oct 25 09:14:22 b2s -- MARK --
Oct 25 09:34:22 b2s -- MARK --
Oct 25 09:54:22 b2s -- MARK --
Oct 25 10:14:22 b2s -- MARK --
Oct 25 10:34:22 b2s -- MARK --
Oct 25 10:54:22 b2s -- MARK --
Oct 25 11:14:22 b2s -- MARK --
Oct 25 11:34:23 b2s -- MARK --
Oct 25 11:54:23 b2s -- MARK --
Oct 25 12:14:23 b2s -- MARK --
Oct 25 12:34:23 b2s -- MARK --
Oct 25 12:54:23 b2s -- MARK --
Oct 25 13:14:23 b2s -- MARK --
Oct 25 13:34:23 b2s -- MARK --
Oct 25 13:48:17 b2s sshd[5600]: Did not receive identification string from 83.64.191.62
Oct 25 13:49:36 b2s sshd[5605]: User root from 83-64-191-62.paris-lodron.xdsl-line.inode.at not allowed because not listed in AllowUsers
Oct 25 13:49:36 b2s sshd[5606]: input_userauth_request: invalid user root
Oct 25 13:49:36 b2s sshd[5605]: Failed password for invalid user root from 83.64.191.62 port 3197 ssh2
Oct 25 14:14:23 b2s -- MARK --
Oct 25 14:34:23 b2s -- MARK --
Oct 25 14:54:23 b2s -- MARK --
Oct 25 15:14:23 b2s -- MARK --
Oct 25 15:34:24 b2s -- MARK --
Oct 25 15:54:24 b2s -- MARK --
Oct 25 16:14:24 b2s -- MARK --
Oct 25 16:34:24 b2s -- MARK --
Oct 25 16:54:24 b2s -- MARK --
Oct 25 17:14:24 b2s -- MARK --
Oct 25 17:34:24 b2s -- MARK --
Oct 25 17:54:24 b2s -- MARK --
Oct 25 18:14:24 b2s -- MARK --
Oct 25 18:34:24 b2s -- MARK --
Oct 25 18:54:24 b2s -- MARK --
Oct 25 19:14:24 b2s -- MARK --
Oct 25 19:34:25 b2s -- MARK --
Oct 25 19:54:25 b2s -- MARK --
Oct 25 20:04:01 b2s named[2155]: unexpected RCODE (SERVFAIL) resolving 'ns.ovh.net/AAAA/IN': 212.27.32.132#53
Oct 25 20:14:25 b2s -- MARK --
Oct 25 20:34:25 b2s -- MARK --
Oct 25 20:45:19 b2s named[2155]: lame server resolving 'www.eea.europa.eu' (in 'eea.europa.EU'?): 217.74.208.67#53
Oct 25 21:00:00 b2s init: Switching to runlevel: 0
Oct 25 21:00:01 b2s /usr/sbin/gpm[2285]: *** info [mice.c(1766)]:
Oct 25 21:00:01 b2s /usr/sbin/gpm[2285]: imps2: Auto-detected intellimouse PS/2
Oct 25 21:00:06 b2s sshd[2152]: Received signal 15; terminating.
Oct 25 21:00:06 b2s logger: /etc/rc.d/rc.inet1:  /sbin/route del default
Oct 25 21:00:06 b2s logger: /etc/rc.d/rc.inet1:  /sbin/ifconfig eth0 down
Oct 25 21:00:06 b2s logger: /etc/rc.d/rc.inet1:  /sbin/ifconfig eth1 down
Oct 25 21:00:06 b2s logger: /etc/rc.d/rc.inet1:  /sbin/ifconfig lo down
Oct 25 21:00:06 b2s exiting on signal 15
Oct 26 00:09:35 b2s syslogd 1.4.1: restart.

come si può notare, da diversi giorni non avevo tentativi in ssh, solo uno oggi alle 13, ma fallito.
Improvvisamente però, alle 21 è andato da solo in runlevel 0 e 6 secondi dopo sshd termina.
Secondo voi, ho avuto un attacco non rilevato??? oppure la mia slack 11 è impazzita dopo neanche un mese???

alessiodf · Messaggio da **alessiodf** » gio 26 ott 2006, 9:08

Io dico la mia.. ma non darmi troppo retta!

Codice: Seleziona tutto

Oct 25 13:49:36 b2s sshd[5605]: Failed password for invalid user root from 83.64.191.62 port 3197 ssh2

Se dici che root da ssh e' disabilitato, qualcuno, ci ha provato! Conosci quell'ip?

comunque.. il furbone non e' sicuramente riuscito ad entrare, ma credo che habbia usato un sistema automatico a ti abbia fatto un brute force.. Ora, non vorrei che sshd prende di sua iniziativa dei provvedimenti al verificarsi di troffi accessi che vanno male, e spenga la macchina.. RIPOTO: IMHO!

borgo.ema · Messaggio da **borgo.ema** » gio 26 ott 2006, 10:12

Non è che nei file /etc/hosts.allow e /etc/hosts.deny

hai impostato un shutdown nel caso di tentato accesso root via ssh???

Messaggio da **Bakkio2** » gio 26 ott 2006, 10:41

apparte il fatto che non ho alba di come impostare uno shutdown a tentetivi di connessione, e la cosa mi piacerebbe saperla...

borgo.ema
Messaggio Inviato: Gio Ott 26, 2006 6:12 pm Oggetto:
Non è che nei file /etc/hosts.allow e /etc/hosts.deny

hai impostato un shutdown nel caso di tentato accesso root via ssh???

comunque, ho risolto l'enigma, la macchina è stata spenta manualmente da un çr€tinò di nome fratello, che non conosce la differenza tra un pc e un server, e che dopo aver combinato il danno, si lamenta pure che il suo portatile non va in internet in quanto il server faceva da firewall e proxy.....

Dani · Messaggio da **Dani** » gio 26 ott 2006, 15:54

Comunque, se ti avessero attaccato non sarebbero stati certamente degli hacker.