Qualcuno sta tentando di accedere alla mia Slackware!

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
anycolouryoulike
Packager
Packager
Messaggi: 1158
Iscritto il: ven 10 ago 2007, 0:00
Slackware: 12.2
Kernel: 2.6.34.8
Desktop: KDE 3.5.10

Qualcuno sta tentando di accedere alla mia Slackware!

Messaggio da anycolouryoulike »

Grazie a Conky ho appena visto dal /var/log/messages che qualcuno sta tentando di accedere al mio sistema via SSH! :shock:

Codice: Seleziona tutto

Sep 15 23:45:00 darkstar sshd[19718]: Did not receive identification string from 121.117.161.47
Sep 15 23:47:16 darkstar sshd[20721]: Failed password for root from 121.117.161.47 port 49903 ssh2
Sep 15 23:47:20 darkstar sshd[20756]: Failed password for root from 121.117.161.47 port 50002 ssh2
Sep 15 23:47:26 darkstar sshd[20786]: Invalid user apple from 121.117.161.47
Sep 15 23:47:26 darkstar sshd[20786]: Failed password for invalid user apple from 121.117.161.47 port 50081 ssh2
Sep 15 23:47:30 darkstar sshd[20825]: Failed password for root from 121.117.161.47 port 50169 ssh2
Sep 15 23:47:33 darkstar sshd[20908]: Invalid user brian from 121.117.161.47
Sep 15 23:47:33 darkstar sshd[20908]: Failed password for invalid user brian from 121.117.161.47 port 50223 ssh2
Sep 15 23:47:37 darkstar sshd[20931]: Failed password for root from 121.117.161.47 port 50283 ssh2
Sep 15 23:47:45 darkstar sshd[20958]: Invalid user andrew from 121.117.161.47
Sep 15 23:47:45 darkstar sshd[20958]: Failed password for invalid user andrew from 121.117.161.47 port 50348 ssh2
Sep 15 23:47:49 darkstar sshd[21013]: Failed password for root from 121.117.161.47 port 50451 ssh2
Sep 15 23:47:52 darkstar sshd[21040]: Invalid user newsroom from 121.117.161.47
Sep 15 23:47:52 darkstar sshd[21040]: Failed password for invalid user newsroom from 121.117.161.47 port 50515 ssh2
Sep 15 23:47:56 darkstar sshd[21065]: Failed password for root from 121.117.161.47 port 50568 ssh2
Sep 15 23:48:11 darkstar sshd[21086]: Invalid user magazine from 121.117.161.47
Sep 15 23:48:11 darkstar sshd[21086]: Failed password for invalid user magazine from 121.117.161.47 port 50624 ssh2
Cosa devo fare? Devo preoccuparmi?

Avatar utente
lamarozzo
Linux 3.x
Linux 3.x
Messaggi: 732
Iscritto il: gio 14 lug 2005, 0:00
Desktop: xfce
Distribuzione: archlinux
Località: Roma

Messaggio da lamarozzo »

whois mi ha dato

Codice: Seleziona tutto

netnum: 121.112.0.0 - 121.119.255.255 
netname: OCN 
descr: NTT Communications Corporation 
descr: 1-6 Uchisaiwai-cho 1-chome Chiyoda-ku, Tokyo 100-8019 Japan 
country: JP 
admin-c: JNIC1-AP 
tech-c: JNIC1-AP 
status: ALLOCATED PORTABLE 
remarks: Email address for spam or abuse complaints :abuse@ocn.ad.jp 
mnt-by: MAINT-JPNIC 
mnt-lower: MAINT-JPNIC 
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
remarks: This object can only be updated by APNIC hostmasters. 
remarks: To update this object, please contact APNIC 
remarks: hostmasters and include your organisation's account 
remarks: name in the subject line. 
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
changed: hm-changed@apnic.net 20060707 
source: APNIC 
 
role: Japan Network Information Center 
address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda 
address: Chiyoda-ku, Tokyo 101-0047, Japan 
country: JP 
phone: +81-3-5297-2311 
fax-no: +81-3-5297-2312 
e-mail: hostmaster@nic.ad.jp 
admin-c: JI13-AP 
tech-c: JE53-AP 
nic-hdl: JNIC1-AP 
mnt-by: MAINT-JPNIC 
changed: hm-changed@apnic.net 20041222 
changed: hm-changed@apnic.net 20050324 
changed: ip-apnic@nic.ad.jp 20051027 
source: APNIC 
 
inetnum: 121.112.0.0 - 121.119.170.255 
netname: PLALA 
descr: Plala Networks Inc. 
country: JP 
admin-c: SA3783JP 
tech-c: SA3783JP 
remarks: This information has been partially mirrored by APNIC from 
remarks: JPNIC. To obtain more specific information, please use the 
remarks: JPNIC WHOIS Gateway at 
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or 
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client 
remarks: defaults to Japanese output, use the /e switch for English 
remarks: output) 
changed: apnic-ftp@nic.ad.jp 20060725 
changed: apnic-ftp@nic.ad.jp 20061023 
source: JPNIC 



C'è anche un'indirizzo email per segnalare abusi o cose simili: abuse@ocn.ad.jp

Purtroppo non sono un esperto di sicurezza informatica, ma visto che hanno provato ad accedere come root io farei rifiutare al demone sshd le connessioni come root. Se gli attacchi insistono con iptables imposti poi una regola che escluda completamente l'indirizzo da cui provengono gli attacchi.

Avatar utente
cacao74
Linux 0.x
Linux 0.x
Messaggi: 65
Iscritto il: sab 22 lug 2006, 22:42
Slackware: 13.37
Kernel: 2.6.37.6
Desktop: fluxbox
Località: Torino
Contatta:

Messaggio da cacao74 »

Beh.. si, dovresti preoccuparti.
In rete circolano script kiddies ed altra robaccia...
Qualched'uno sta facendo qualche tentativo sulla porta 22 del tuo IP pubblico.

Hai diverse soluzioni per limitare o arginare definitivamente il problema:
- utilizza password robuste e complesse
- cambi porta per quel servizio
- disabiliti completamente il servizio
- limiti l'uso del servizio solo da particolari IP (tcp_wrapper/iptables)
- limiti l'accesso permettendo solo l'uso di chiavi disabilitando l'autenticazione con password
- ecc...

Trova la combinazione migliore per le tue esigenze.
ciao

Avatar utente
kasher
Linux 1.x
Linux 1.x
Messaggi: 175
Iscritto il: gio 20 gen 2005, 0:00
Slackware: 12.2
Kernel: 2.6.27.7
Desktop: kde 3.5.10

Messaggio da kasher »

quoto cacao74, senò potresti utilizzare una soluzione più elegante, il port knocking in modo da aprire la porta solamente all' evenienza.

kasher.

Dani
Linux 4.x
Linux 4.x
Messaggi: 1447
Iscritto il: mer 26 apr 2006, 1:52
Desktop: gnome
Distribuzione: arch

Messaggio da Dani »

Se usi password non vulnerabili ad attacchi di tipo dizionario non mi preoccuperei piu' di tanto...

Avatar utente
simplex
Linux 2.x
Linux 2.x
Messaggi: 327
Iscritto il: mer 27 lug 2005, 0:00
Slackware: current
Desktop: xfce
Contatta:

Messaggio da simplex »

Pero' e' sempre una seccatura che riempie i log...
Ora ho l'autenticazione tramite chiavi, prima per limitare il bruteforce sulla 22 usavo questa regola sul firewall (pf openbsd)

Codice: Seleziona tutto

pass in on $ext_if inet proto tcp from any to ($ext_if) port ssh \
   keep state \
   (max-src-conn-rate 2/60, overload <bastards> flush global)
Praticamente mette in blacklist chi tenta due o piu' connnessioni in meno di 60 secondi (ho isdn), la tabella viene flushata ogni ora.

Purtroppo non so come si faccia con iptables..

Avatar utente
slucky
Iper Master
Iper Master
Messaggi: 2419
Iscritto il: mar 1 mag 2007, 15:30
Slackware: 14.2
Desktop: xfce4

Messaggio da slucky »

Ciao, ti basta disabilitare l'accesso da root a ssh, se non amministri pc in remoto, questo è caldamente consigliato farlo ;)
Ti basta editare il file /etc/ssh/sshd_config e dove leggi:
# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes

metti:
# Authentication:

#LoginGraceTime 2m
#PermitRootLogin no
Ora sei a posto.

Ciao :D

Avatar utente
cacao74
Linux 0.x
Linux 0.x
Messaggi: 65
Iscritto il: sab 22 lug 2006, 22:42
Slackware: 13.37
Kernel: 2.6.37.6
Desktop: fluxbox
Località: Torino
Contatta:

Messaggio da cacao74 »

simplex ha scritto:Pero' e' sempre una seccatura che riempie i log...
Praticamente mette in blacklist chi tenta due o piu' connnessioni in meno di 60 secondi (ho isdn), la tabella viene flushata ogni ora.

Purtroppo non so come si faccia con iptables..
Controlla, dalla pagina di manuale di iptables, la descrizione del modulo "limit" per ottenere un comportamento simile a "pf". In rete dovresti trovare anche materiale molto descrittivo.

Anche il consiglio di utilizzare "port knoking" e' molto valido!
ciao

Avatar utente
cacao74
Linux 0.x
Linux 0.x
Messaggi: 65
Iscritto il: sab 22 lug 2006, 22:42
Slackware: 13.37
Kernel: 2.6.37.6
Desktop: fluxbox
Località: Torino
Contatta:

Messaggio da cacao74 »

slucky ha scritto:
# Authentication:

#LoginGraceTime 2m
#PermitRootLogin no
Ora sei a posto.

Ciao :D
Forse e' meglio decommentare se si vuole attivare una "feature" altrimenti rimane
attiva la parametrizzazione predefinita. ;-)

ciao

Avatar utente
slucky
Iper Master
Iper Master
Messaggi: 2419
Iscritto il: mar 1 mag 2007, 15:30
Slackware: 14.2
Desktop: xfce4

Messaggio da slucky »

Certo ssh resta attivo, si dovrebbe proprio disabilitarlo completamente come servizio per stopparlo............però per quanto riguarda il login da root, test di Rkhunter :
* Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... [ OK (Remote root login disabled) ]
Quindi non è necessario decommentare ;)

Saluti a tutti :D

Avatar utente
cacao74
Linux 0.x
Linux 0.x
Messaggi: 65
Iscritto il: sab 22 lug 2006, 22:42
Slackware: 13.37
Kernel: 2.6.37.6
Desktop: fluxbox
Località: Torino
Contatta:

Messaggio da cacao74 »

slucky ha scritto: Quindi non è necessario decommentare ;)
mmm... non mi hai convinto! :-)
cito il man di sshd_config
DESCRIPTION
sshd(8) reads configuration data from /etc/ssh/sshd_config (or the file
specified with -f on the command line). The file contains keyword-argu-
ment pairs, one per line. Lines starting with '#' and empty lines are
interpreted as comments.
Arguments may optionally be enclosed in double
quotes (") in order to represent arguments containing spaces.
...
...
...
PermitRootLogin
Specifies whether root can log in using ssh(1). The argument
must be ``yes'', ``without-password'', ``forced-commands-only'',
or ``no''. The default is ``yes''.
...
ciao!

Avatar utente
slucky
Iper Master
Iper Master
Messaggi: 2419
Iscritto il: mar 1 mag 2007, 15:30
Slackware: 14.2
Desktop: xfce4

Messaggio da slucky »

Beh, polemica sterile, così la disabilitazione funziona.............poi ognuno faccia come crede, son fatti suoi alla fine................


Risaluti a tutti

:lol:

Avatar utente
anycolouryoulike
Packager
Packager
Messaggi: 1158
Iscritto il: ven 10 ago 2007, 0:00
Slackware: 12.2
Kernel: 2.6.34.8
Desktop: KDE 3.5.10

Messaggio da anycolouryoulike »

A me se non decommento la linea il login di root rimane abilitato, decommentandola invece non accetta la password anche se è giusta, quindi presumo che sia disabilitato, quindi quoto cacao74.
Non ho capito perché provano intrusioni di questo tipo: è impossibile indovinare l'user e la password!

Avatar utente
j0kers
Linux 2.x
Linux 2.x
Messaggi: 418
Iscritto il: dom 22 lug 2007, 1:31
Slackware: 13
Kernel: 2.6.32
Desktop: xfce4

Messaggio da j0kers »

Esistono vari script che ti fanno il brute della password inoltre esistono svariati exploit che sfuttano i bug dei demoni di sistema e per sshd ce ne sono a bizzeffe (ovviamente non tutte le versioni sshd sono buggate) 8) 8) 8)

Avatar utente
cacao74
Linux 0.x
Linux 0.x
Messaggi: 65
Iscritto il: sab 22 lug 2006, 22:42
Slackware: 13.37
Kernel: 2.6.37.6
Desktop: fluxbox
Località: Torino
Contatta:

Messaggio da cacao74 »

anycolouryoulike ha scritto:Non ho capito perché provano intrusioni di questo tipo: è impossibile indovinare l'user e la password!
Non e' proprio impossibile... sicuramente e' piu' facile tentare un accesso con il login di "root", ma essendo script automatizzati utilizzano grossi dizionari di accout e password e.. a loro il tempo non manca! ;-)

ciao

Rispondi