log di ssh
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
log di ssh
ciao
dove trovo i log di ssh?
vorrei vedere i vari accessi/tentativi di accesso da parte di quali utenti a che ora e anche da che host...
dove trovo i log di ssh?
vorrei vedere i vari accessi/tentativi di accesso da parte di quali utenti a che ora e anche da che host...
guardando in syslog ho trovato questo:
mi para abbastanza preoccupante!:
mi para abbastanza preoccupante!:
Codice: Seleziona tutto
Sep 14 19:49:00 unixweb sshd[9740]: error: Could not get shadow information for NOUSER
Sep 14 19:49:04 unixweb sshd[9744]: error: Could not get shadow information for NOUSER
Sep 14 19:49:07 unixweb sshd[9748]: error: Could not get shadow information for NOUSER
Sep 14 19:49:10 unixweb sshd[9752]: error: Could not get shadow information for NOUSER
Sep 14 19:49:14 unixweb sshd[9756]: error: Could not get shadow information for NOUSER
Sep 14 19:49:18 unixweb sshd[9760]: error: Could not get shadow information for NOUSER
Sep 14 19:49:21 unixweb sshd[9764]: error: Could not get shadow information for NOUSER
Sep 14 19:49:24 unixweb sshd[9768]: error: Could not get shadow information for NOUSER
Sep 14 19:49:28 unixweb sshd[9772]: error: Could not get shadow information for NOUSER
Sep 14 19:49:31 unixweb sshd[9776]: error: Could not get shadow information for NOUSER
Sep 14 19:49:34 unixweb sshd[9780]: error: Could not get shadow information for NOUSER
Sep 14 19:49:37 unixweb sshd[9784]: error: Could not get shadow information for NOUSER
Sep 14 19:49:41 unixweb sshd[9788]: error: Could not get shadow information for NOUSER
Sep 14 19:49:44 unixweb sshd[9792]: error: Could not get shadow information for NOUSER
Sep 14 19:49:47 unixweb sshd[9796]: error: Could not get shadow information for NOUSER
Sep 14 19:49:51 unixweb sshd[9800]: error: Could not get shadow information for NOUSER
Sep 14 19:49:54 unixweb sshd[9804]: error: Could not get shadow information for NOUSER
Sep 14 19:49:57 unixweb sshd[9808]: error: Could not get shadow information for NOUSER
Sep 14 19:50:00 unixweb sshd[9812]: error: Could not get shadow information for NOUSER
Sep 14 19:50:04 unixweb sshd[9816]: error: Could not get shadow information for NOUSER
Sep 14 19:50:07 unixweb sshd[9820]: error: Could not get shadow information for NOUSER
Sep 14 19:50:10 unixweb sshd[9824]: error: Could not get shadow information for NOUSER
Sep 14 19:50:13 unixweb sshd[9828]: error: Could not get shadow information for NOUSER
Sep 14 19:50:17 unixweb sshd[9832]: error: Could not get shadow information for NOUSER
Sep 14 19:50:20 unixweb sshd[9836]: error: Could not get shadow information for NOUSER
Sep 14 19:50:23 unixweb sshd[9840]: error: Could not get shadow information for NOUSER
Sep 14 19:50:26 unixweb sshd[9844]: error: Could not get shadow information for NOUSER
Sep 14 19:50:30 unixweb sshd[9848]: error: Could not get shadow information for NOUSER
Sep 14 19:50:33 unixweb sshd[9852]: error: Could not get shadow information for NOUSER
Sep 14 19:50:36 unixweb sshd[9856]: error: Could not get shadow information for NOUSER
Sep 14 19:50:39 unixweb sshd[9860]: error: Could not get shadow information for NOUSER
Sep 14 19:50:43 unixweb sshd[9864]: error: Could not get shadow information for NOUSER
Sep 14 19:50:46 unixweb sshd[9868]: error: Could not get shadow information for NOUSER
Sep 14 19:50:49 unixweb sshd[9872]: error: Could not get shadow information for NOUSER
Sep 14 19:50:52 unixweb sshd[9876]: error: Could not get shadow information for NOUSER
Sep 16 10:45:45 unixweb sshd[20804]: error: Could not get shadow information for NOUSER
Sep 16 10:45:52 unixweb sshd[20814]: error: Could not get shadow information for NOUSER
Sep 16 10:45:58 unixweb sshd[20818]: error: Could not get shadow information for NOUSER
Sep 16 10:46:04 unixweb sshd[20822]: error: Could not get shadow information for NOUSER
Sep 16 10:46:11 unixweb sshd[20826]: error: Could not get shadow information for NOUSER
Sep 16 10:46:36 unixweb sshd[20845]: error: Could not get shadow information for NOUSER
- -Shark-
- Linux 2.x
- Messaggi: 238
- Iscritto il: ven 24 giu 2005, 0:00
- Località: Grumento Nova (Pz)
- Contatta:
http://seclists.org/lists/incidents/2004/Jul/0065.html
Se non hai bisogno che ssh sia utilizzabile dall'esterno, filtra la porta!
You're under attack! :PAccounts checked are guest, test & root
Its simple brute force guessing (mostly blank password attempts)
Sources are usually old, unpatched, default install Linux boxes
Se non hai bisogno che ssh sia utilizzabile dall'esterno, filtra la porta!
ti ringrazio dai log ho visto l'indirizzo che ha tentato il bruteforce , ho controllato con visualroute, appartiene ad una serie di indirizzi assegnati ad un provider USLEC Corp negli Stati Uniti.
secondo voi, cosa devo fare?
è molto probabile che chi ha tentato l'attacco sia passato da diversi proxy ...
mando una mail a abuse@uslec.com ? dove gli segnalo quello che è successo?
oppure dite che queste cose sono "normali" e devo lasciare perdere?
grazie mille
secondo voi, cosa devo fare?
è molto probabile che chi ha tentato l'attacco sia passato da diversi proxy ...
mando una mail a abuse@uslec.com ? dove gli segnalo quello che è successo?
oppure dite che queste cose sono "normali" e devo lasciare perdere?
grazie mille
anche se segnali il fatto ad abuse..... non è che vengono presi provvedimenti (nel senso che non penso gli mettano la linea sottocontrollo) .
in ssh si possono settare delle acl potresti quindi far in maniera che quando ti contatta un indirizzo a te non gradito gli risponda un programmino che simula ssh ovvero gli fai credere di essere entrato ..... intanto prendi i suoi dati cerchi di rintracciarlo e poi li decidi cosa fare ................. (se mi dovesse capitare cercherei di fargli la cosa piu infame che possa fare....... se si potesse fare gli cancllerei la eprom del bios )
comunque se vuoi usare ssh da fuori una prima cosa è disabilitare l'accesso con password ed lasciare solo abilitato l'accesso con chiave rsa magari la fai da 2048 bit (ci mette un bel po a generarla ma secondo me ne vale la pena )
una cosa che puoi fare non so se funge su internet ancora non lo ho mai provato è usare un honey wall ............
in ssh si possono settare delle acl potresti quindi far in maniera che quando ti contatta un indirizzo a te non gradito gli risponda un programmino che simula ssh ovvero gli fai credere di essere entrato ..... intanto prendi i suoi dati cerchi di rintracciarlo e poi li decidi cosa fare ................. (se mi dovesse capitare cercherei di fargli la cosa piu infame che possa fare....... se si potesse fare gli cancllerei la eprom del bios )
comunque se vuoi usare ssh da fuori una prima cosa è disabilitare l'accesso con password ed lasciare solo abilitato l'accesso con chiave rsa magari la fai da 2048 bit (ci mette un bel po a generarla ma secondo me ne vale la pena )
una cosa che puoi fare non so se funge su internet ancora non lo ho mai provato è usare un honey wall ............
- darkside04
- Linux 2.x
- Messaggi: 432
- Iscritto il: mar 23 nov 2004, 0:00
- Località: roma
Credo di avere lo stesso problema dove devono essere settate queste acl?? e il programmino dove lo reperisco??kobaiachi ha scritto:anche se segnali il fatto ad abuse..... non è che vengono presi provvedimenti (nel senso che non penso gli mettano la linea sottocontrollo) .
in ssh si possono settare delle acl potresti quindi far in maniera che quando ti contatta un indirizzo a te non gradito gli risponda un programmino che simula ssh ovvero gli fai credere di essere entrato ..... intanto prendi i suoi dati cerchi di rintracciarlo e poi li decidi cosa fare ................. (se mi dovesse capitare cercherei di fargli la cosa piu infame che possa fare....... se si potesse fare gli cancllerei la eprom del bios )
comunque se vuoi usare ssh da fuori una prima cosa è disabilitare l'accesso con password ed lasciare solo abilitato l'accesso con chiave rsa magari la fai da 2048 bit (ci mette un bel po a generarla ma secondo me ne vale la pena )
una cosa che puoi fare non so se funge su internet ancora non lo ho mai provato è usare un honey wall ............