# [OT] attacchi ripetuti via ssh

## X-Drum

hi,

da oggi basta cambio porta e uso solo chiave+pass per ssh

(per me e i pochi accounts che ho sulla macchina)

ricevo troppi attacchi da parte di "gente" che vuole introdursi

nel mio sistema...certe volte mi chiedo come il mio ip, che cmq è dinamico

possa avere tutta questa "visibilità", ormai gli attacchi sembrano essere sistematici

eccone un piccolo e depurato estratto

Ah essendo in posseso di log e quindi di ip,date,ecc esiste un modo per segnalare

che tale host in tale data ha cercato ripetutamente di introdursi nel mio sys.

Temo una risposta del tipo "muahahahahhha"

----------

## kaosone

sono scan automatici, nessuno ha qualcosa di personale contro di te  :Wink: 

ah dimenticavo, la postale non si muove per un TENTATIVO di intrusione...

e anche se ti bucano e ti fanno danni, non hai molte speranze che facciano qualcosa... forse se i colpevoli sono in italia hai qualche piccola possibilita ;=

----------

## X-Drum

ma va?

e io che pensavo ci fosse un omino dietro al terminale che stava li

a provare per ore intere ,coppie username/pwd -.-

inoltre il tizio usava uno o + proxy

quindi anche l'ipotesi denuncia....bah

tutto quello che mi chiedo è: dato che il mio è un sys privato

e per di piu con ip dinamico è un po "strano" che spesso diventi

oggetto di tale pratica, magari quale servizio che uso

abitualmente da "cognizione di me" e via inizia la festa

----------

## kaosone

quello che dicevo e' che anche la selezione degli ip e' su scan di classi intere, quindi anche se hai ip dinamico ti beccano lo stesso

----------

## silian87

Metti un kernel hardened... e' stupendo.. puoi limitare di tutto...

----------

## lavish

basta cambiare la porta di ascolto di ssh e il 99% delle noie spariscono  :Wink: 

----------

## neryo

 *lavish wrote:*   

> basta cambiare la porta di ascolto di ssh e il 99% delle noie spariscono 

 

quoto.. da quando ho cambiato porta non mi succede piu'...

https://forums.gentoo.org/viewtopic-t-330491-highlight-stanno+cercando.html

----------

## power83

 *silian87 wrote:*   

> Metti un kernel hardened... e' stupendo.. puoi limitare di tutto...

 

cioe?

----------

## kaosone

lascia perdere i kernel hardened, rallentano parecchio , e imho hanno senso solo su server di certe dimensioni

----------

## X-Drum

 *neryo wrote:*   

>  *lavish wrote:*   basta cambiare la porta di ascolto di ssh e il 99% delle noie spariscono  
> 
> quoto.. da quando ho cambiato porta non mi succede piu'...
> 
> https://forums.gentoo.org/viewtopic-t-330491-highlight-stanno+cercando.html

 

sisi quello lo sapevo già cioè il primo "trucco", per cosi dire, è cambiare porta

ad i servizi piu' "gettonati" mi era sfuggito il tuo post ad ogni modo

mi sa che la provenienza è la stessa 

 *power83 wrote:*   

>  *silian87 wrote:*   Metti un kernel hardened... e' stupendo.. puoi limitare di tutto... 
> 
> cioe?

 

lol? 

ad ogni modo credo sia meglio cambiare porta, lo so è pietoso da dire ma fino ad ora

non volevo cedere perche' mi secca passare  -p  ad ssh asd asd:twisted:

----------

## lotti

piccolo OT

ma invece di rompere i cojoni sti qua che non hanno nulla da fare perche' non si staccano dal pc e vannoa  fighe? : |

----------

## X-Drum

ahahahaha  :Very Happy: 

un po rozzo ma in effetti bella domanda  :Smile: 

me lo chiedo pure io...

----------

## lavish

 *lotti wrote:*   

> piccolo OT
> 
> ma invece di rompere i cojoni sti qua che non hanno nulla da fare perche' non si staccano dal pc e vannoa  fighe? : |

 

 :Confused:   Che risposta costruttiva...

----------

## FonderiaDigitale

cambia porta di default: > 1024

e usa swatch. sta in portage. c'e' un howto nel wiki

----------

## DavideF

 *X-Drum wrote:*   

> ma va?
> 
> e io che pensavo ci fosse un omino dietro al terminale che stava li
> 
> a provare per ore intere ,coppie username/pwd -.-
> ...

 

Come detto sopra è un random scan ovvero il pc scansiona automaticamente un determinato range ....

Ora non so se avete mai sentito parlare di Rbot o similario ... ovvero :

RBot e derivati sono software codati solitamente in C++ e girano sotto W** scannano range casuali, dati dai loro amministratori es.

```
.advscan lsass_445 500 5 999 -r -s
```

Oltre a scannare "bucano" le macchine vulnerabili con vari exploit che hanno al loro interno ed eseguendo una copia di loro stessi in queste macchie.

Cosa succede quando si eseguono su altri pc ?

Semplice il pc vittima joinna in un canale IRC dove attende istruzioni da parte dello str**z* che gli ha compilati ...

Io penso... fino a qui che me ne frega ? 

Semplice ... Sti infami li usanno per DDoS contro server & co ed ultimamente ho visto "botnet" da 16000 e + pc ai comandi dell'lamer  :Shocked:  ( il che è impressionante se pensate a quanta banda potrebbero saturare  :Shocked:   :Shocked:   :Shocked:  )

Ora direte .... bhè ma se sono per win che me ne frega ?

Ecco ... ultimamente ho trovato alcune versioni che sono compatibili sia per linux che per windows  :Confused: 

Nel codice hanno vari #define sia per linux che per windows ... 

Il mio "consiglio" è di cambiare le porte dei servizi e munirti di un buon firewall .... magari lasci la 80 e 21 statiche ma le altre è sempre meglio cambiarle ....

Spero di avervi dato una delucidazione su quello che usano i lamer per rompere il cazzo a noi sys admin ...

P.S. 

Per non parlare degli autorooter ...  :Sad: 

----------

## federico

Aggiungo il fatto che molte volte questi attacchi arrivano da macchine semi abbandonate e tendenti al fantasma, mi e' capitato di ricevere attacchi da macchine che ho attaccato poi io a mia volta con successo, e una volta contattati ripetutamente i gestori (cinesi, koreani, russi - ma anche italiani e quanti altri) per dirgli "hei raga buttatela via la vostra connessione a internet, siete cretini" (insomma detto meglio ma questo era il succo) non ho mai ricevuto risposte, tutto perso nell'oblio dell'ignoranza.

----------

## FonderiaDigitale

il 95% sono pc figli dello zio bill infestati da worm e minchiazze varie. scrivere loro e' inutile.

la soluzione? non bindate porte all'esterno, postatele in alto, fate delle vpn e bindate verso gli ip autenticati.

----------

## wildancer

Ragazzi sono solo massrooter, niente di piu... Ci sarà qualcuno che semplicemente ha preso di mira il range di ip del provider di X-Drum.... Ma per mia esperienza personale so che difficilmente bucano una distro aggiornata con questi mezzi, anche se lasci ssh li dov'è... A dir la verità ho una linux box uso desktop da una vita connessa ad internet senza tanti servizi attivi ma SENZA FIREWALL DI ALCUN GENERE e oltre a qualche zozzeria nei log è tutto ok... E poi non esistono exploit remoti oggi per openssh 3.9_p1-r2  :Cool: 

----------

## Tiro

 *wildancer wrote:*   

> Ragazzi sono solo massrooter, niente di piu... Ci sarà qualcuno che semplicemente ha preso di mira il range di ip del provider di X-Drum.... Ma per mia esperienza personale so che difficilmente bucano una distro aggiornata con questi mezzi, anche se lasci ssh li dov'è... A dir la verità ho una linux box uso desktop da una vita connessa ad internet senza tanti servizi attivi ma SENZA FIREWALL DI ALCUN GENERE e oltre a qualche zozzeria nei log è tutto ok... E poi non esistono exploit remoti oggi per openssh 3.9_p1-r2 

 

buono a sapersi!  :Wink: 

Anch'io nn ho firewall su un mio recente serverino ma solo il pacchetto portsentry che blocca comportamenti sospetti e li logga. Mi trovo dentro fastweb ed ogni giorno mi ritrovo con un sacco di portscan e tentativi di accesso a samba ecc...nn me ne preoccupo + di tanto poichè i dati importanti li tengo altrove e nn su q pc, però avrei piacere di sapere quali siano i rischi...

----------

## rota

kernel hardened:?:  :Question:   :Question: 

----------

## X-Drum

 *rota wrote:*   

> kernel hardened:?:  

 

mah  :Rolling Eyes: 

----------

## .:deadhead:.

 *FonderiaDigitale wrote:*   

> cambia porta di default: > 1024
> 
> e usa swatch. sta in portage. c'e' un howto nel wiki

 

Interessante 

http://gentoo-wiki.com/HOWTO_Protect_SSHD_with_Swatch

 :Very Happy:  bella fonderia

----------

## .:chrome:.

 *kaosone wrote:*   

> lascia perdere i kernel hardened, rallentano parecchio , e imho hanno senso solo su server di certe dimensioni

 

questo è falso. mi spiace

prova a portare dei dati, casomai

@X-Drum:

io ho una soluzione molto simpatica e diplomatica: KILL ROUTE

se uno cicca il login per 5 volte, allora viene inserita una bella riga nella tabella di route o nell'hosts.deny.

basta un piccolo script.

se taglio i servizi a qualcuno, che questi vadano a lamentarsi con il loro provider, e che sia lui a degnarsi di prendere provvedimenti (in fondo si fanno pagare)

----------

## X-Drum

lol bella idea!  :Very Happy: 

cmq da quando ho cambiato porta 

(cosa che non volevo far perche' sono pigro nelle mie cose, non su lavoro)

non ho ancora ricevuto un solo tentativo di accesso non autorizzato.

Una cosa simpatica sarebbe stata quella di mettere su una sorta di "emulatore"

che so un UML ad esempio con utente e una passwd altrettanto semplici, per vedere

che diamine farebbero una volta loggati dentro il sistema (fittizzio in questo caso) :PPPP 

ma è un idea mezza pazza anche se facilmente realizzabile... 

ssh diretto su ambiente UML: chi lo prova?  :Very Happy: 

----------

## .:chrome:.

 *X-Drum wrote:*   

> Una cosa simpatica sarebbe stata quella di mettere su una sorta di "emulatore" che so un UML

 

guarda qua: http://www.honeynet.org/

----------

## X-Drum

 *k.gothmog wrote:*   

>  *X-Drum wrote:*   Una cosa simpatica sarebbe stata quella di mettere su una sorta di "emulatore" che so un UML 
> 
> guarda qua: http://www.honeynet.org/

 

nooooooooooo perche' lo hai fatto!!!!!!!!!!

adesso passero' giornate intere a pistolare su questo progetto :d

veramente bello!

----------

## .:chrome:.

 *X-Drum wrote:*   

>  *k.gothmog wrote:*    *X-Drum wrote:*   Una cosa simpatica sarebbe stata quella di mettere su una sorta di "emulatore" che so un UML 
> 
> guarda qua: http://www.honeynet.org/ 
> 
> nooooooooooo perche' lo hai fatto!!!!!!!!!!
> ...

 

scusa

mi segnerò di non mandarti mai più un link  :Very Happy: 

----------

## thewally

 *lotti wrote:*   

> piccolo OT
> 
> ma invece di rompere i cojoni sti qua che non hanno nulla da fare perche' non si staccano dal pc e vannoa  fighe? : |

 

Di fatti sono gia' occupati in siffatta maniera: lo scan e' AUTOMATICO !!!

----------

## dboogieman

Ciao a tutti concordo con la difficolta' di poter prendere risoluzioni a tentativi "robot" di login a daemon ssh...a maggior ragione se da whois del IP sorgente magari rispondono IP asiatici (premetto che non ho nessun genere di pregiudizo geografico io per primo infatti mi reputo figlio della terra...e poi l'uomo che inventato i confini geografici..).

In questi casi io dal whois rilevo il possibile indirizzo di abuse, e magari gli scrivo una mail allegandogli alcune righe del log che evidenziano il genere di attivita' di traffico..quanto meno capiscono che c'e' qualcuno che si legge i log e non e' del tutto uno sprovveduto...potrebbe bastargli a girargli alla larga...se posso aggiungere un po' di ironia  :Wink:  quella di staccarsi dal PC ed andare un po' a fighe mi ha fatto ridere di gusto...grandi tutti, come al solito!!!

Ciao

dboogieman

----------

## alexerre

scusate uppo un attimo trovandomi anch'io nella suddetta situazione.

Vorrei sapere una cosa, magari c'è qualcuno che lo sa: dove si può trovare un bot che fa questo mestiere per studiarne il codice?

Soprattutto capire che genere di vulnerabilità usa sulle macchine attaccate.

----------

## gutter

 *alexerre wrote:*   

> scusate uppo un attimo trovandomi anch'io nella suddetta situazione.
> 
> Vorrei sapere una cosa, magari c'è qualcuno che lo sa: dove si può trovare un bot che fa questo mestiere per studiarne il codice?
> 
> 

 

Credo che se fai una ricerca su google ne trovi a decine.

----------

## Hrk

Scusatemi... ma come mai la risposta più comune (anzi, l'unica che ho visto) a questo problema è del tipo "Security through obscurity", ovvero "sposta il port di SSH altrove"?!?

Non vorrei attirarmi le vostre antipatie, ma è un metodo veramente del piffero!

Spostare il port ti mette al sicuro da quegli scan automatici _mirati_ sul port di default... ma se per qualche motivo un malintenzionato un attimino più furbo fa un port scan totale della macchina, ecco che avere spostato il port non serve più a niente... 

Avete un server SSH in piedi e avete paura dei malintenzionati? Bene: autenticazione unicamente mediante chiave pubblica/privata (con passPHRASE se temete la chiave privata possa venirvi rubata).

Ho più di un server acceso su port 22, ricevo i port scan come voi, ma qualsiasi tentativo di connessione viene ucciso prima ancora di inserire la password (visto che tale accesso è disabilitato).

Generare una coppia di chiavi pubblica/privata è banale e si può fare anche con Windows, infatti amministro il mio server sia quando sono sulla mia workstation (Gentoo), che sul portatile (Mac OS X) che altrove (Windows + chiavetta usb, la chiave in questo caso ha una bella passphrase ovviamente).

----------

## comio

 *Hrk wrote:*   

> Scusatemi... ma come mai la risposta piï¿½ comune (anzi, l'unica che ho visto) a questo problema ï¿½ del tipo "Security through obscurity", ovvero "sposta il port di SSH altrove"?!?
> 
> Non vorrei attirarmi le vostre antipatie, ma ï¿½ un metodo veramente del piffero!
> 
> Spostare il port ti mette al sicuro da quegli scan automatici _mirati_ sul port di default... ma se per qualche motivo un malintenzionato un attimino piï¿½ furbo fa un port scan totale della macchina, ecco che avere spostato il port non serve piï¿½ a niente... 
> ...

 

quoto. Sono dell'idea che nascondere serve a poco. Io perÃ² ho comunque nascosto i miei servrer ssh ad indirizzi che non sono quelli specificati. PerchÃ©? Almeno chi mi fa un port scan non vede la porta aperta e non mi fa 2000 tentativi (che sicuramente falliranno) per tentare di trovare user e password.

Non ho aumentato la sicurezza, ma ho solo evitato di avere i log sporchi di tententativi "naive" di user/password discovery.

ciao

----------

## xchris

secondo me la cosa migliore e' usare un bel knock-knock protocol...

cosi' la porta e' proprio chiusa!

----------

## Cazzantonio

si ma il knock ti costringe ad avere un client di knock installato sul pc da cui ti connetti... non sempre è possibile  :Rolling Eyes: 

----------

## comio

 *Cazzantonio wrote:*   

> si ma il knock ti costringe ad avere un client di knock installato sul pc da cui ti connetti... non sempre ï¿½ possibile 

 

io credo che i vari knock siano solo un aumento di complessitÃ , ma non di sicurezza (almeno significativi). Se si ha ssh recente, e si usano dei semplici accorgimenti (password non banale, per esempio) si ha una degna sicurezza.

L'unica cosa (lo ripeto) che mi porta ad occultare ssh Ã¨ quello di evitare la miriade di tentativi: banda sprecata inutilmente. PerÃ² questo non vuol dire che aumento la sicurezza.

Poi propongo questo aumento di complessitÃ : due ssh! Mi spiego. Il primo accedibile solo dall'esterno sulla porta che volete Ã¨ chrootato. Il secondo accetta solo connessioni locali. Quindi, prima di avere una shell utilizzabile, bisogna loggarsi nella gabbia chroot e poi fare ssh sulla porta locale. Ovviamente nella gabbia, bisgno lasciare solo ssh, impedire la scrittura su disco, non mettere servizi o subsystems (tipo sftp), e le regole iptables devono permettere solo l'ssh sulla porta locale.

EDIT: versione2. Non metto l'ssh nella gabbia chroot, ma obbligo all'uso di un portforwarding. Quindi il login diventa:

```

$ ssh -k -N -L $localport:localhost:$chrootsshport $utenteinchroot@$miamacchina 

$ ssh -p $localport $utentenoninchroot@localhost

```

Dopo questo casino, secondo voi quanto Ã¨ aumentata la sicurezza? Secondo me non molto, ma volevo scrivere questa idea per aumentare l'entropia.... ops.... sicurezza.  :Smile: 

Poi, una cosa, ma avete dati cosÃ¬ critici sulle vostre macchine?

ovviamente imho.

comio

----------

## xchris

 *comio wrote:*   

>  *Cazzantonio wrote:*   si ma il knock ti costringe ad avere un client di knock installato sul pc da cui ti connetti... non sempre ï¿½ possibile  
> 
> io credo che i vari knock siano solo un aumento di complessitÃ , ma non di sicurezza (almeno significativi). Se si ha ssh recente, e si usano dei semplici accorgimenti (password non banale, per esempio) si ha una degna sicurezza.
> 
> 

 

Non sono d'accordo  :Smile: 

nascondere la porta e' un ottimo sistema.

Se usi un knock protocol semplice ti basta una shell (o prompt dei comandi) per aprirti la porta.

Esistono diverse implementazioni ma anche quella + blanda in termini di sicurezza gia' taglia via la maggior parte dei tentativi.

E' ovvio che sotto deve esserci un server aggiornato. (non metto knock knock su un server ssh vecchio di 5 anni  :Laughing: )

@comio: i dati sono decisamenti privati! (sia sulla mia macchina che su quelle delle varie aziende!)

----------

## Hrk

 *xchris wrote:*   

> 
> 
> Non sono d'accordo 
> 
> nascondere la porta e' un ottimo sistema.

 

L'autore del Port Knocking si rivolterebbe nella tomba se te lo sentisse dire! Ah no, è ancora vivo.  :Smile: 

Lo dice lui stesso: il port knocking, se usato come unico meccanismo di sicurezza, è solo fumo negli occhi.

Nascondere il port è un ottimo sistema per evitare lo "sporcarsi" dei log, come diceva comio, ma non per avere sicurezza. Per avere sicurezza restringi l'accesso al solo uso di chiavi asimmetriche e, magari, cambiale ogni 6 mesi (se hai dati così sensibili da richiedere una sicurezza estrema).

Col port knocking non puoi evitare che qualcuno riesca a catturare la sequenza dei pacchetti della "bussata" e quindi replicarla. Col port knocking ED ANCHE le chiavi, il malintenzionato può anche leggerti la sequenza di knock, ma non è in grado di falsificarti una chiave privata!

----------

## comio

 *Hrk wrote:*   

>  *xchris wrote:*   
> 
> Non sono d'accordo 
> 
> nascondere la porta e' un ottimo sistema. 
> ...

 

se i dati sono realmente sensibili, per legge, le chiavi andrebbero cambiente ogni 3 mesi (Allegato B - Disciplinare Tecnico in materia di misure minime di sicurezza - Dlgs 196/03 e successivi aggiornamenti).

Poi io consiglio sempre di mantenere due livelli di protezione. Uno a livello di sistema (ssh con chiavi e tutto quello che volete), l'altro a livello di dati (fs/archivi crittati in modo forte).

comio

----------

## .:deadhead:.

tante idee, alcune simpatiche da implementare ma IMHO la soluzione più pulita è stata suggerità post e post fà : SWATCH [indicato da fonderia] in pratica si passa in rasseggna i log e quando becca qualche rompipalle gli crea una regolina ad hoc sul FW della macchina.

Cmq io non ci vedo nulla di scandaloso ad avere ssh su una porta a muzzo: se così facendo mi evito il 90% [stando bassi] dei rompipalle, spiegatemi quali potrebbero esser le controindicazioni  :Wink: 

----------

## xchris

 *Hrk wrote:*   

> 
> 
> L'autore del Port Knocking si rivolterebbe nella tomba se te lo sentisse dire! Ah no, è ancora vivo. 
> 
> 

 

ma chi sta dicendo che sotto non debba esserci cmq un sistema con chiavi e quanto altro?

Quando mai ho detto che il knock knock protocol e' sufficiente? mah

E' decisamente sottointeso che il server ssh sotto debba essere sempre aggiornato e volendo anche con l'utilizzo di chiavi (se si e' paranoici)

IMHO nascondere la porta e' un ottimo passo! e taglia il 99% degli attacchi. (perche' spesso sono solo randomici e non mirati)

L'analisi dei log e' non per ultimo un requisito indispensabile.

ciao

EDIT:se proprio vogliamo essere paranoici ci sono protocolli di knock knock ancora + avanzati che non usano il solo toc toc su delle porte....

----------

## alexerre

posso dire una cosa?!

i tentativi di intrusione che in questo periodo vanno di moda attraverso ssh sono riservati solo alla versione 1 (vero?)

quindi avendo ssh only su vers. 2 e sufficientemente aggiornato - ovviamente con una password seria - cosa c'è da temere?

@comio: mi secca che qualcuno penetri sulla mia macchina e mi usi per altri scopi.

----------

## X-Drum

 *Hrk wrote:*   

> Scusatemi... ma come mai la risposta più comune (anzi, l'unica che ho visto) a questo problema è del tipo "Security through obscurity", ovvero "sposta il port di SSH altrove"?!?
> 
> Non vorrei attirarmi le vostre antipatie, ma è un metodo veramente del piffero!
> 
> 

 

il suddetto metodo del pifferova benissimo per attacchi del piffero...

e cmq è la prima regola da seguire (quando si puo' fare ovvio)

non usare le porte standard per alcuni servizi.

Dopo circa un mese posso affermare che gli unici accessi contenuti

nel log ssh del mio sistema sono quelli miei o di persone autorizzate

da me

 *xchris wrote:*   

> IMHO nascondere la porta e' un ottimo passo! e taglia il 99% degli attacchi. (perche' spesso sono solo randomici e non mirati)
> 
> L'analisi dei log e' non per ultimo un requisito indispensabile.
> 
> 

 

jawol! quoto & ripeto: dato che sono pigro ero rimasto sulla 22 solo per 

evitare di passare il parametro -p N ma essere pigro sulla mia macchina

è un lusso che spero mi possa concedere  :Razz: 

----------

## mouser

@X-Drum:

Premesso che anch'io ero restio al cambiare porta di ssh, puoi sempre modificare il .bashrc del pc che utilizzi di solito per collegarti al tuo e metterci un bel:

```
alias ssh='ssh -p tuaporta'
```

Cosi' ti basta dare ssh come prima!!!  :Laughing: 

Scherzi a parte....... qualcuno ha mai sentito/provato il port-knocking???? Sembra interessante e mi piacerebbe provarlo, se solo sapessi che non mi sporca in maniera indecente i file di log!

Esperienze  :Question: 

Thanxxx

Ciriciao

mouser  :Wink: 

----------

## gutter

La sicurezza è un compromesso e dal momento che lo scopo in questo è quello di tagliare fuori molti scan automatici, credo che il metodo della porta alta sia una soluzione (sicuramente non l'ottimo del problema) buona se paragonata al livello medio di chi effettua la scansione.

Si potrebbe stare a discutere per giornate intere, ma andremmo a finire sempre alla stessa conclusione, quanti livelli di sicurezza dovrei implementare? E se ne implemento 'n-1' non è possibile che ne esista un n-esimo? 

Una buona soluzione protrebbe essere quello di permettere l'accesso solo ad un IP con chiavi. Ma questo comporterebbe di accettare il "compromesso" (notare la parola compromesso  :Wink:  ) tra sicurezza ed usabilità; ovvero e se per una volta necessito di accedere a quella macchina da un altro IP per un intervento urgente, come risolvo il problema.

Questa è la mia personale opinione da sistemista niubbo, quindi ovviamente può non essere condivisa da molti  :Wink: 

----------

## alexerre

...

derresto la sicurezza è un processo, non un meccanismo. E come ogni processo deve essere seguito in ogni passo della sua evoluzione  :Wink: 

Ripropongo la mia domanda: questi tool di scan automatici si avvalgono della vulnerabilità di ssh1 e tentano un brute force basato su dizionario?

----------

## xchris

@mouser: ma... i miei post li hai letti?  :Laughing:  ciao  :Wink: 

@gutter: 

concordo.

Se la vogliamo dire tutta il thread era iniziato parlando di attacchi ripetuti su ssh eseguiti in modo automatico e molto "dumb".

ovvero... il port knocking risolve già al 100% checche se ne dica.

E' OVVIO che se l'attacco e' mirato e' necessario disporre di un server ssh aggiornato.(cosa che controllo regolarmente)

Utilizzare la password e basta?

Come evidenziato da comio qualche post su utilizzare le chiavi presenta dei notevoli vantaggi.

Purtroppo presenta anche qualche inconveniente. (dimenticanza chiave...,perdita chiave se senza passphrase)

Usare la password e' un buon sistema se il server e' AGGIORNATO e la password non e' "pippo".

(amo questo forum perche' in alcuni thread mi viene detto che il firewall e' inutile...in altri mi viene detto che per fare un accesso ssh serve la scansione della retina,riconoscimento vocale, e devo fare tre salti in avanti seguiti da capriola  :Laughing: )

----------

## gutter

 *alexerre wrote:*   

> 
> 
> Ripropongo la mia domanda: questi tool di scan automatici si avvalgono della vulnerabilità di ssh1 e tentano un brute force basato su dizionario?

 

In genere questi tool o cercano vulnerabilità note, o provano dei brute force basati su dizionario.

----------

## .:chrome:.

per chi fosse interessato, o volesse partecipare, sto buttando giù uno scriptino che fa un meraviglioso route kill

----------

## mouser

 *xchris wrote:*   

> @mouser: ma... i miei post li hai letti?  ciao 

 

hmmm..... mi sa che i prossimi giorni evitero' il forum alle 7 del mattino......

Sono troppo ri******to  :Laughing: 

Sorry.

Ciriciao

mouser  :Wink: 

----------

## wildancer

Caspita quante congetture per un po di zozzeria nei log.... Allora: principalmente, con una buona pass e openssh aggiornato state tranquilli! provate a settare una pass tipo j98RaXXc7t0_bR23__GeNt00, poi prendete una gigabit eternet, la montate sul vostro server, prendete una dual sparc64 anch'essa con Gbeth e lanciate un brute force insane throttling: ditemi quanto ci mette a trovare la pass! Bene, non siete riuciti? ok, allora via a trovare bugs nel sorgente... o meglio ancora cercate in internet degli exploit! Non esistono  :Smile:  Contate poi che il 90% di questi lamer usano programmi scritti da altri per scopi didattici, ergo non sono poi così efficenti come se uno ne scrivesse di buoni e mirati (Come fanno i Penetration Tester che certo non li rendono poi pubblici) e poi questi nemmeno sono così informati, spesso sono ircWarrior a cui potrei dare il mio shadow dumpato col passwd ed essere siuro che non entrerebbero mai! (a voi non lo darei mai invece... Siete sempre informati e credo sappiate cos'è Rainbowcrack  :Smile:  tuttavia una rainbowtable buona con maiuscole minuscole e simboli credo occupi circa 550 giga e impieghi sulla sopracitata dual sparc64 circa un anno per essere creata... certo poi cracca nell'ordine dei secondi!)

Comunque se una linux box è aggiornata e ben configurata secondo me è inattaccabile... Anche senza firewall (che poi devo ancora capire a che serve... se usi ssh devi aprire la porta, se non lo usi la porta non la apri, se lo usi in rete interna accetti solo connessioni da rete interna... e questo a quanto so è possibile per ogni server...) poi se fai come dice comio e proteggi i tuoi dati con crittatura forte sono finiti i giochi  :Smile: 

Tutto ciò IMHO, sarei felice se qualcuno di voi riuscisse ad incutermi paura ed a ripotrare in me un giusto livello di paranoia...

----------

## alexerre

 *k.gothmog wrote:*   

> per chi fosse interessato, o volesse partecipare, sto buttando giù uno scriptino che fa un meraviglioso route kill

 

eccolo, molto interesato alla cosa  :Wink: 

----------

## Hrk

 *wildancer wrote:*   

> Comunque se una linux box è aggiornata e ben configurata secondo me è inattaccabile... Anche senza firewall (che poi devo ancora capire a che serve... se usi ssh devi aprire la porta, se non lo usi la porta non la apri, se lo usi in rete interna accetti solo connessioni da rete interna... e questo a quanto so è possibile per ogni server...) poi se fai come dice comio e proteggi i tuoi dati con crittatura forte sono finiti i giochi 
> 
> Tutto ciò IMHO, sarei felice se qualcuno di voi riuscisse ad incutermi paura ed a ripotrare in me un giusto livello di paranoia...

 

Ok, per la richiesta del giusto livello di paranoia... 

Sulla tua workstation, per quello che hai scritto sopra ed il modo in cui l'hai fatto, un firewall è effettivamente inutile.  :Smile:  Sai quali processi stiano girando, quali port aprano e via dicendo.

Se tuttavia hai un server cui più utenti possono fare login e lanciare processi, il firewall ti può servire ad evitare che si installino in userspace un bel server IRC su port > 1024... visto che nel tuo firewall hai specificato che le uniche connessioni buone sono quelle dei servizi che hai deciso di offrire al mondo.  :Smile: 

Per il resto, concordo con quanto da te scritto (visto che non era "sposta il port"  :Wink:  ma "tieni il server aggiornato e usa una password seria").

----------

## X-Drum

 *Hrk wrote:*   

> Sulla tua workstation, per quello che hai scritto sopra ed il modo in cui l'hai fatto, un firewall è effettivamente inutile.  Sai quali processi stiano girando, quali port aprano e via dicendo.
> 
> Se tuttavia hai un server cui più utenti possono fare login e lanciare processi, il firewall ti può servire ad evitare che si installino in userspace un bel server IRC su port > 1024... visto che nel tuo firewall hai specificato che le uniche connessioni buone sono quelle dei servizi che hai deciso di offrire al mondo. 
> 
> Per il resto, concordo con quanto da te scritto (visto che non era "sposta il port"  ma "tieni il server aggiornato e usa una password seria").

 

quindi secondo te un firewall ti protegge dagli attacchi provenienti dall'interno (tua macchina) e sarebbe

inutile al fine della protezione dai potenziali attacchi provenienti dall'esterno...

ok  :Laughing: 

----------

## .:chrome:.

allora... come ho accennato alcuni giorni fa ho finalmente recuperato lo scriptino...

devo ammettere che è fatto per un sistema RedHat, perché è quello che ho trovato installato su quella macchina  :Sad: 

sono graditi commenti & critiche & suggerimenti & chi più ne ha più ne metta...

```
#!/usr/bin/perl -w

use strict;

my $email = "";

my $logfile = "/var/log/messages";

my $ip;

my $value;

my $pos;

my %hash_ip = ();

system("mv /var/log/messages /var/log/messages_`date +%Y-%m-%d-%H:%M`");

system("touch /var/log/messages; chown root:adm /var/log/messages; chmod 640 /var/log/messages; service syslog restart");

sub add_ip( ) {

  if ( exists( $hash_ip{$ip} ) ) {

          $value = $hash_ip{$ip};

          $value++;

          $hash_ip{$ip} = $value;

  }

  else {$hash_ip{$ip} = 1;}

  if ( 10 == $hash_ip{$ip} ){

    system("echo \"sshd: $ip\" >> /etc/hosts.deny");

    system("echo \"$ip\" | mail -s \"Blocked ip\" $email");

  }

}

open(LOG, $logfile);

for(;;) {

while (<LOG>) {

if( m/Failed/ ) {

system("echo \"$_\" | mail -s \"Failed Login\" $email");

$pos = index( $_, "::" ) + 7;

$ip = substr( $_, $pos, index( $_, "port" ) - 1 - $pos );

add_ip( );

}

}

sleep 15;

seek(LOG, 0, 1);

}

```

----------

