log di ssh

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
nik600
Linux 2.x
Linux 2.x
Messaggi: 450
Iscritto il: lun 15 mar 2004, 0:00
Contatta:

log di ssh

Messaggio da nik600 »

ciao

dove trovo i log di ssh?

vorrei vedere i vari accessi/tentativi di accesso da parte di quali utenti a che ora e anche da che host...

nik600
Linux 2.x
Linux 2.x
Messaggi: 450
Iscritto il: lun 15 mar 2004, 0:00
Contatta:

Messaggio da nik600 »

guardando in syslog ho trovato questo:

mi para abbastanza preoccupante!:

Codice: Seleziona tutto

Sep 14 19:49:00 unixweb sshd[9740]: error: Could not get shadow information for NOUSER
Sep 14 19:49:04 unixweb sshd[9744]: error: Could not get shadow information for NOUSER
Sep 14 19:49:07 unixweb sshd[9748]: error: Could not get shadow information for NOUSER
Sep 14 19:49:10 unixweb sshd[9752]: error: Could not get shadow information for NOUSER
Sep 14 19:49:14 unixweb sshd[9756]: error: Could not get shadow information for NOUSER
Sep 14 19:49:18 unixweb sshd[9760]: error: Could not get shadow information for NOUSER
Sep 14 19:49:21 unixweb sshd[9764]: error: Could not get shadow information for NOUSER
Sep 14 19:49:24 unixweb sshd[9768]: error: Could not get shadow information for NOUSER
Sep 14 19:49:28 unixweb sshd[9772]: error: Could not get shadow information for NOUSER
Sep 14 19:49:31 unixweb sshd[9776]: error: Could not get shadow information for NOUSER
Sep 14 19:49:34 unixweb sshd[9780]: error: Could not get shadow information for NOUSER
Sep 14 19:49:37 unixweb sshd[9784]: error: Could not get shadow information for NOUSER
Sep 14 19:49:41 unixweb sshd[9788]: error: Could not get shadow information for NOUSER
Sep 14 19:49:44 unixweb sshd[9792]: error: Could not get shadow information for NOUSER
Sep 14 19:49:47 unixweb sshd[9796]: error: Could not get shadow information for NOUSER
Sep 14 19:49:51 unixweb sshd[9800]: error: Could not get shadow information for NOUSER
Sep 14 19:49:54 unixweb sshd[9804]: error: Could not get shadow information for NOUSER
Sep 14 19:49:57 unixweb sshd[9808]: error: Could not get shadow information for NOUSER
Sep 14 19:50:00 unixweb sshd[9812]: error: Could not get shadow information for NOUSER
Sep 14 19:50:04 unixweb sshd[9816]: error: Could not get shadow information for NOUSER
Sep 14 19:50:07 unixweb sshd[9820]: error: Could not get shadow information for NOUSER
Sep 14 19:50:10 unixweb sshd[9824]: error: Could not get shadow information for NOUSER
Sep 14 19:50:13 unixweb sshd[9828]: error: Could not get shadow information for NOUSER
Sep 14 19:50:17 unixweb sshd[9832]: error: Could not get shadow information for NOUSER
Sep 14 19:50:20 unixweb sshd[9836]: error: Could not get shadow information for NOUSER
Sep 14 19:50:23 unixweb sshd[9840]: error: Could not get shadow information for NOUSER
Sep 14 19:50:26 unixweb sshd[9844]: error: Could not get shadow information for NOUSER
Sep 14 19:50:30 unixweb sshd[9848]: error: Could not get shadow information for NOUSER
Sep 14 19:50:33 unixweb sshd[9852]: error: Could not get shadow information for NOUSER
Sep 14 19:50:36 unixweb sshd[9856]: error: Could not get shadow information for NOUSER
Sep 14 19:50:39 unixweb sshd[9860]: error: Could not get shadow information for NOUSER
Sep 14 19:50:43 unixweb sshd[9864]: error: Could not get shadow information for NOUSER
Sep 14 19:50:46 unixweb sshd[9868]: error: Could not get shadow information for NOUSER
Sep 14 19:50:49 unixweb sshd[9872]: error: Could not get shadow information for NOUSER
Sep 14 19:50:52 unixweb sshd[9876]: error: Could not get shadow information for NOUSER
Sep 16 10:45:45 unixweb sshd[20804]: error: Could not get shadow information for NOUSER
Sep 16 10:45:52 unixweb sshd[20814]: error: Could not get shadow information for NOUSER
Sep 16 10:45:58 unixweb sshd[20818]: error: Could not get shadow information for NOUSER
Sep 16 10:46:04 unixweb sshd[20822]: error: Could not get shadow information for NOUSER
Sep 16 10:46:11 unixweb sshd[20826]: error: Could not get shadow information for NOUSER
Sep 16 10:46:36 unixweb sshd[20845]: error: Could not get shadow information for NOUSER


Avatar utente
-Shark-
Linux 2.x
Linux 2.x
Messaggi: 238
Iscritto il: ven 24 giu 2005, 0:00
Località: Grumento Nova (Pz)
Contatta:

Messaggio da -Shark- »

http://seclists.org/lists/incidents/2004/Jul/0065.html
Accounts checked are guest, test & root
Its simple brute force guessing (mostly blank password attempts)
Sources are usually old, unpatched, default install Linux boxes
You're under attack! :P
Se non hai bisogno che ssh sia utilizzabile dall'esterno, filtra la porta! :)

nik600
Linux 2.x
Linux 2.x
Messaggi: 450
Iscritto il: lun 15 mar 2004, 0:00
Contatta:

Messaggio da nik600 »

il fatto è che ho bisogno di ssh dall'esterno...

comunque x ora ho chiuso la porta... dove posso controllare x vedere se sono entrati?

dove vedo quale era l'host che ha tentato il bruteforce?

Avatar utente
Paoletta
Staff
Staff
Messaggi: 3975
Iscritto il: lun 25 apr 2005, 0:00
Slackware: 14.2 - 64 bit
Desktop: fluxbox
Località: Varese

Messaggio da Paoletta »

se leggi la pag di manuale di sshd, c'è scritto che il demone manda i messaggi di log al system log..quindi guarda /var/log/messages

nik600
Linux 2.x
Linux 2.x
Messaggi: 450
Iscritto il: lun 15 mar 2004, 0:00
Contatta:

Messaggio da nik600 »

ti ringrazio dai log ho visto l'indirizzo che ha tentato il bruteforce , ho controllato con visualroute, appartiene ad una serie di indirizzi assegnati ad un provider USLEC Corp negli Stati Uniti.

secondo voi, cosa devo fare?

è molto probabile che chi ha tentato l'attacco sia passato da diversi proxy ...

mando una mail a abuse@uslec.com ? dove gli segnalo quello che è successo?

oppure dite che queste cose sono "normali" e devo lasciare perdere?

grazie mille

kobaiachi
Linux 4.x
Linux 4.x
Messaggi: 1368
Iscritto il: gio 14 lug 2005, 0:00
Località: roma
Contatta:

Messaggio da kobaiachi »

anche se segnali il fatto ad abuse..... non è che vengono presi provvedimenti (nel senso che non penso gli mettano la linea sottocontrollo) .
in ssh si possono settare delle acl potresti quindi far in maniera che quando ti contatta un indirizzo a te non gradito gli risponda un programmino che simula ssh ovvero gli fai credere di essere entrato ..... intanto prendi i suoi dati cerchi di rintracciarlo e poi li decidi cosa fare ................. (se mi dovesse capitare cercherei di fargli la cosa piu infame che possa fare....... se si potesse fare gli cancllerei la eprom del bios )
comunque se vuoi usare ssh da fuori una prima cosa è disabilitare l'accesso con password ed lasciare solo abilitato l'accesso con chiave rsa magari la fai da 2048 bit (ci mette un bel po a generarla ma secondo me ne vale la pena )

una cosa che puoi fare non so se funge su internet ancora non lo ho mai provato è usare un honey wall ............

kobaiachi
Linux 4.x
Linux 4.x
Messaggi: 1368
Iscritto il: gio 14 lug 2005, 0:00
Località: roma
Contatta:

Messaggio da kobaiachi »

a una altra cosa devi usare la versione 2 del protocollo ssh perche la 1 aveva bachi di sicurezza devi quindi accettare le chiamate solo da quella versione se vuoi stare sicuro .

Avatar utente
darkside04
Linux 2.x
Linux 2.x
Messaggi: 432
Iscritto il: mar 23 nov 2004, 0:00
Località: roma

Messaggio da darkside04 »

kobaiachi ha scritto:anche se segnali il fatto ad abuse..... non è che vengono presi provvedimenti (nel senso che non penso gli mettano la linea sottocontrollo) .
in ssh si possono settare delle acl potresti quindi far in maniera che quando ti contatta un indirizzo a te non gradito gli risponda un programmino che simula ssh ovvero gli fai credere di essere entrato ..... intanto prendi i suoi dati cerchi di rintracciarlo e poi li decidi cosa fare ................. (se mi dovesse capitare cercherei di fargli la cosa piu infame che possa fare....... se si potesse fare gli cancllerei la eprom del bios )
comunque se vuoi usare ssh da fuori una prima cosa è disabilitare l'accesso con password ed lasciare solo abilitato l'accesso con chiave rsa magari la fai da 2048 bit (ci mette un bel po a generarla ma secondo me ne vale la pena )

una cosa che puoi fare non so se funge su internet ancora non lo ho mai provato è usare un honey wall ............
Credo di avere lo stesso problema dove devono essere settate queste acl?? e il programmino dove lo reperisco??

strummer
Linux 2.x
Linux 2.x
Messaggi: 276
Iscritto il: mer 29 set 2004, 0:00

Messaggio da strummer »

interessante davvero 'sto programmino che simula ssh, dove si può trovare?
se sai il nome del prog, me lo cerca da me.
grazie ciao

Rispondi