# [Risolto] ssh e attacco esterno.

## ciro64

Ciao

uso rarissimamente ssh; e siccome stavo aiutando un mio amico a installare gentoo sul suo pc mi apro un terminalino con

```

$ tail -f /var/log/secure
```

(sto usando rsyslog)

bene...cioè male: stasera vedo un po' di tentativi di intrusione

```

2010-11-24T01:34:52.009203+01:00 localhost sshd[11067]: Address 61.16.240.36 maps to kol-static-36-240-16-61.direct.net.in, but this does not map back to the address - POSSIBLE B

REAK-IN ATTEMPT!

2010-11-24T01:34:52.009258+01:00 localhost sshd[11067]: Invalid user oracle from 61.16.240.36

2010-11-24T01:34:53.779392+01:00 localhost sshd[11069]: Address 61.16.240.36 maps to kol-static-36-240-16-61.direct.net.in, but this does not map back to the address - POSSIBLE B

REAK-IN ATTEMPT!

2010-11-24T01:34:53.779453+01:00 localhost sshd[11069]: Invalid user library from 61.16.240.36

2010-11-24T01:34:55.556846+01:00 localhost sshd[11071]: Address 61.16.240.36 maps to kol-static-36-240-16-61.direct.net.in, but this does not map back to the address - POSSIBLE B

REAK-IN ATTEMPT!

2010-11-24T01:34:55.556907+01:00 localhost sshd[11071]: Invalid user info from 61.16.240.36

2010-11-24T01:34:57.332803+01:00 localhost sshd[11073]: Address 61.16.240.36 maps to kol-static-36-240-16-61.direct.net.in, but this does not map back to the address - POSSIBLE B

REAK-IN ATTEMPT!

2010-11-24T01:34:57.332862+01:00 localhost sshd[11073]: Invalid user shell from 61.16.240.36

2010-11-24T01:34:59.089544+01:00 localhost sshd[11075]: Address 61.16.240.36 maps to kol-static-36-240-16-61.direct.net.in, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

2010-11-24T01:34:59.089603+01:00 localhost sshd[11075]: Invalid user linux from 61.16.240.36

2010-11-24T01:35:00.876639+01:00 localhost sshd[11077]: Address 61.16.240.36 maps to kol-static-36-240-16-61.direct.net.in, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

2010-11-24T01:35:00.876698+01:00 localhost sshd[11077]: Invalid user unix from 61.16.240.36

2010-11-24T01:35:02.640524+01:00 localhost sshd[11079]: Address 61.16.240.36 maps to kol-static-36-240-16-61.direct.net.in, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

2010-11-24T01:35:02.640586+01:00 localhost sshd[11079]: Invalid user webadmin from 61.16.240.36

2010-11-24T01:35:04.398736+01:00 localhost sshd[11082]: Address 61.16.240.36 maps to kol-static-36-240-16-61.direct.net.in, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

2010-11-24T01:35:04.398798+01:00 localhost sshd[11082]: Invalid user ftp from 61.16.240.36

2010-11-24T01:35:06.175306+01:00 localhost sshd[11084]: Address 61.16.240.36 maps to kol-static-36-240-16-61.direct.net.in, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

2010-11-24T01:35:06.175367+01:00 localhost sshd[11084]: Invalid user test from 61.16.240.36

2010-11-24T01:35:07.957127+01:00 localhost sshd[11086]: Address 61.16.240.36 maps to kol-static-36-240-16-61.direct.net.in, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

2010-11-24T01:35:09.737266+01:00 localhost sshd[11089]: Address 61.16.240.36 maps to kol-static-36-240-16-61.direct.net.in, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

2010-11-24T01:35:09.737328+01:00 localhost sshd[11089]: Invalid user admin from 61.16.240.36

2010-11-24T01:35:11.502887+01:00 localhost sshd[11091]: Address 61.16.240.36 maps to kol-static-36-240-16-61.direct.net.in, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

2010-11-24T01:35:11.502948+01:00 localhost sshd[11091]: Invalid user guest from 61.16.240.36

2010-11-24T01:35:13.285253+01:00 localhost sshd[11093]: Address 61.16.240.36 maps to kol-static-36-240-16-61.direct.net.in, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

2010-11-24T01:35:13.285313+01:00 localhost sshd[11093]: Invalid user master from 61.16.240.36

2010-11-24T01:35:15.075370+01:00 localhost sshd[11095]: Address 61.16.240.36 maps to kol-static-36-240-16-61.direct.net.in, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

2010-11-24T01:35:15.075429+01:00 localhost sshd[11095]: Invalid user apache from 61.16.240.36

2010-11-24T01:35:16.830641+01:00 localhost sshd[11097]: Address 61.16.240.36 maps to kol-static-36-240-16-61.direct.net.in, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

2010-11-24T01:35:18.610303+01:00 localhost sshd[11099]: Address 61.16.240.36 maps to kol-static-36-240-16-61.direct.net.in, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

2010-11-24T01:35:19.838453+01:00 localhost sshd[10213]: Received signal 15; terminating.

```

Al che ho inviato un poweroff immediato al pc remoto;

poi dopo breve tempo ho killato sshd e buonanotte.

Essendo decisamente inesperto in merito a questi argomenti, beh.... nel "male" approfitto per chiedere qualche consiglio/spiegazione o qualche buon link (non immensamente complesso) in modo da poter capire meglio e  anche eventualmente (se necessario) dover adottare contromisure più performanti ed automatismi efficaci che mettermi io a killare a mano  :Smile: 

in /etc/ssh/sshd_config ho messo il PermitRootLogin no

Grazie per qualsiasi consiglio  :Smile: 

----------

## Onip

a me, che non sono un esperto, sembrano solamente log di tentativi di login da remoto con username piuttosto comuni. Tentativi che non hanno avuto successo (Invalid user).

Generalmente basta aprire la porta di ssh per trovarsi sommersi da tentativi piuttosto stupidi di login (e automatizzati), bastano una password forte o, meglio, un sistema basato su chiavi per mettersi al sicuro. Per evitare di avere il log insozzato da tutti questi tentativi di accesso di solito basta cambiare la porta del servizio e metterla su una non standard.

----------

## ciro64

Graze egregio.... accidenti, se non sei esperto tu, io allora sono ancora un bambino dell'asilo   :Embarassed: 

Comunque si; in effetti forse mi sono allarmato un po' troppo  :Very Happy: 

sisi l'idea della porta non standard mi sembra decisamente buona  :Smile: 

Inoltre in futuro permettere eventuale ingresso al solo indirizzo IP del pc con cui effettuo un'eventuale connessione.

Che faccio ? metto già un "risolto" ?

comunque... grazie come sempre  :Smile: 

----------

## cloc3

 *ciro64 wrote:*   

> 
> 
> Che faccio ?
> 
> 

 

secondo me, il trucco della porta non standard vale solo per gli attacchi ingenui...

un'altra forma di difesa (neanch'essa robustissima, per la verità) è l'uso del pacchetto denyhosts, un insieme di script come configurabile per riufiutare l'accesso agli ip che eseguono un numero elevato di tentativi di questo tipo.

ancora, esiste il modulo pam_tally, che ultimamente viene inserito di default nelle configurazioni base di /etc/pam.d da gentoo, ma che io, per la verità, elimino, perché non ho ancora trovato la voglia di studiarne il comportamento.

----------

## ago

 *cloc3 wrote:*   

>  *ciro64 wrote:*   
> 
> Che faccio ?
> 
>  
> ...

 

Ti quoto.

Questi, sono dei semplici bot che provano stesso user e stessa password, quindi cambiare porta, è già una buona idea  :Wink: 

Per non farti dare fastidio anche iptables potrebbe aiutarti...

Per quanto riguarda il fatto di mettere come possibile connessione, solo l'ip del pc con cui effettui connessioni, se hai un'ip statico ti viene facile, altrimenti è un pochino più complicato

----------

## ciro64

Simpatico questo denyhosts  :Razz: 

Grazie cloc3; sei sempre una miniera di consigli preziosi  :Smile: 

e intanto... continuo a divertirmi ad approfondire un po' questo sistema sublime  :Smile: 

PS: stavo scrivendo mentre mi rispondevi anche tu... grazie Ago.

non uso indirizzi statici; ma del resto uso davvero raramente ssh (che peraltro avvio solo al bisogno). All'occorrenza farò una connessione in cui compariranno solo i singoli indirizzi dei pc fra loro connessi e taglio la testa al toro

Grazie ancora  :Smile: 

----------

## ago

 *ciro64 wrote:*   

> non uso indirizzi statici; ma del resto uso davvero raramente ssh (che peraltro avvio solo al bisogno). All'occorrenza farò una connessione in cui compariranno solo i singoli indirizzi dei pc fra loro connessi e taglio la testa al toro

 

Pensandoci, con iptables puoi specificare con -s, oltre all'indirizzo ip anche il mac, e li potresti mettere il tuo. (in questo caso credo sia difficile che ti spoofano il mac  :Razz:  )

----------

## ciro64

Ok .. grazie Ago.

Aprrofondirò  :Smile: 

----------

## Deus Ex

La soluzione che uso io è VPN + SSH in ascolto sulla sola interfaccia della VPN.

Fin'ora, ha retto  :Wink: 

----------

## ciro64

Vedo di provare anche così  :Smile: 

Grazie !!!

----------

## bender86

 *ago wrote:*   

> Pensandoci, con iptables puoi specificare con -s, oltre all'indirizzo ip anche il mac, e li potresti mettere il tuo. (in questo caso credo sia difficile che ti spoofano il mac :P )

 

Sì, ma il mac è locale alla tua rete, nella rete tra te e il tuo provider usi il mac del router, e in tutti i passaggi tra la tua rete e il server cambia un'infinità di volte. Tutti i pacchetti che arrivano al server hanno il mac del suo router.

Se non sei oggetto di attacchi mirati sono sufficienti una porta non standard e una password robusta (o meglio, accesso con password disabilitato, chiave pubblica unico metodo accettato e un solo utente abilitato).

Guardando poi il tuo log, potresti voler restringere l'accesso solo da determinate nazioni (= dall'Italia). Io avevo in mente di scrivermi uno script che lo facesse prendendo i dati da qui (più che altro per provare), ma non ho mai avuto il tempo.

Per altri consigli prova a cercare ssh+tips su google.

----------

## ciro64

Ok grazie a tutti per i preziosi interventi  :Smile: 

Ciao.

----------

