# [ot] Got Hacked?? ip non locali su interfaccia locale

## tuxer

La mia G-machine (gentoo machine oppure macchina per il punto G come preferite) che fa da router e mille altre cose in casa mi ha fatto venire un colpo...

Penso che qualche cane infame sia riuscito ad entrare, anche se per fortuna pare non aver fatto nessun danno...

La macchina è completamente stealth sulla rete, unica cosa attiva (ma non visibile) è il knockd che alla bussata giusta aggiunge una regola al firewall per permettere ssh...

Ora lo stronzone

- ha fatto la bussata giusta

- ha beccato dove avevo ssh (non sulla 22)

- ha sfruttato qualche falla e/o brute force su ssh 

Ora ho chiuso tutto, ssh e knockd e non vedo niente di anomalo, rkhunter e chkrootkit non  danno alcun problema, però la cosa mi ha infastidito non poco...

Che dite? qualche consiglio?Last edited by tuxer on Fri Jun 24, 2005 6:57 am; edited 1 time in total

----------

## xchris

il topic che significa?

magari spiega esattamente come hai trovato la macchina.

Io penso che sia piu' probabile un "tuo errore" (che e' ammissibile... ci mancherebbe) che all'opera malevola di qualche buontempone.

Eventualmente un analisi dei log puo' aiutare... (anche senza eventualmente  :Smile: )

Controlla con md5check (odio il mio spam...scusate) almeno i pacchetti nel system profile.

Ciao

----------

## Kernel78

A meno che la tua macchina dia accesso a informazioni estremamente redditizie dubito che un individuo si sobbachi la mole di lavoro necessaria a forare la tua macchina ma sia che l'abbia fatto per guadagno che per sfida dovresti tenere conto di due cose:

-difficilmente un "invasore" non si lascia una backdoor

-se è riuscito a bucare il tuo sistema penso possa riuscire a nascondere bene la backdoor che potrebbe aver lasciato

Sono cmq curioso di sapere da cosa hai dedotto che la tua macchina sia stata bucata.

@xchris

 *Quote:*   

> Eventualmente un analisi dei log puo' aiutare... (anche senza eventualmente ) 

 

se è riuscito a penetrare quelle difese penso che la riscrittura dei log sia il minimo che abbia potuto fare, riscriverli escludendo il proprio ip è la cosa più facile...Last edited by Kernel78 on Fri Jun 24, 2005 6:46 am; edited 1 time in total

----------

## tuxer

Ah ops ho dimenticato di spiegare il titolo del topic  :Embarassed: 

Beh a un certo punto con il comando

```
arp -a
```

è saltato fuori qualcosa del tipo

```

eth1 ...

eth0 168.*.*.*.*

```

Il problema è che eth0 è la scheda di rete LOCALE con indirizzo 192.168.1.x, e iptables (fatto con shorewall) sega  automaticamente i pacchetti con indirizzo esterno diretti alla interfaccia interna, quindi  :Confused:   :Confused: 

No comunque sono praticamente sicuro che qualcuno si sia infiltrato, i log di ssh sono stranamente stati segati per dirne una...

Poi vedevo processi strani (tipo find) e la cpu a palla (ma w non dava niente), poi ho chiuso tutto e ora non vedo niente di strano...

Dò un occhiata con il tuo programmino,  non esitare ad autospammare cmq  :Smile: 

----------

## tuxer

Beh diciamo che potrebbe non essere stato un grosso lavoro per l'attaccante in fondo, magari supponeva che tanti usano knockd, allora bussa a n ip su porte magari standard, poi fa un port scanning, e se qualche porta si apre allora è quasi a cavallo!

Il fatto è che per la mia sicurezza di essere stealth non mi ero nemmeno preoccupato troppo, che idiota...

Di backdoor non ne vedo a occhio, lsof -i non dà nulla e i vari binari tipo ps e compagnia bella non sono stati toccati, boh...

----------

## gutter

@tuxer: per favore cambia il titolo del thread con qualcosa di inerente al contenuto.

----------

## tuxer

Beh ma l'ho spiegato cosa c'entra, ho messo quel titolo perché è quando ho visto l'output di arp -a che sono sobbalzato...

Ok comunque modifico un po'

----------

## gutter

 *tuxer wrote:*   

> Beh ma l'ho spiegato cosa c'entra, ho messo quel titolo perché è quando ho visto l'output di arp -a che sono sobbalzato...
> 
> 

 

Secondo me adesso sintetizza meglio il contenuto  :Wink: 

----------

## Kernel78

Bucare ssh non è una cosa da poco, o usi una versione vecchia per cui esistono degli exploit noti o andare di brute force ti avrebbe saturato i log e la banda, senza contare il tempo medio per un attacco simile (supponendo che tu abbia usato password migliori di "pippo"  :Wink:  ).

Cmq l'unico suggerimento che posso darti è di segnalare la cosa al tuo provider (io uso tiscali e hanno una pagina apposta per segnalare intrusioni e attacchi), ovviamente con tutti i log e tutto ciò che può servire.

----------

## xchris

 *Kernel78 wrote:*   

> 
> 
> @xchris
> 
>  *Quote:*   Eventualmente un analisi dei log puo' aiutare... (anche senza eventualmente )  
> ...

 

ahem.. dipende che tipo di logging fai  :Wink: 

----------

## Kernel78

 *xchris wrote:*   

>  *Kernel78 wrote:*   
> 
> @xchris
> 
>  *Quote:*   Eventualmente un analisi dei log puo' aiutare... (anche senza eventualmente )  
> ...

 

Ammetto di non essere un guru della sicurezza ma se un intruso acquisisce i privilegi di root cosa può fermarlo dal modificare i log di una macchina ? (non voglio essere polemico ma visto che voglio imparare chiedo  :Wink:  )

----------

## randomaze

 *Kernel78 wrote:*   

> Ammetto di non essere un guru della sicurezza ma se un intruso acquisisce i privilegi di root cosa può fermarlo dal modificare i log di una macchina ? (non voglio essere polemico ma visto che voglio imparare chiedo  )

 

il logging remoto ad esempio...  :Wink: 

----------

## CarloJekko

 *tuxer wrote:*   

> Poi vedevo processi strani (tipo find) e la cpu a palla (ma w non dava niente), poi ho chiuso tutto e ora non vedo niente di strano...
> 
> 

 Magari era solo cron che faceva qualcosa magari un updatedb  :Wink:  ... Sai quante volte mi sono preso un colpo che il sistema facesse qualcosa e non sapevo cosa.... (neanche fosse winzozz)

----------

## tuxer

Conosco abbastanza bene le mie macchine per sapere cosa stanno facendo sempre e comunque per fortuna...

E poi come spiegheresti l'interfaccia di rete esterna vista come sulla rete locale?? (a proposito che senso ha comunque?)

Ho una sorta di logging remoto, logwatch mi manda mail ogni giorno, ho l'ip se è per quello, non lo denuncio perché non ha fatto niente di male pare, anzi se lo ribecco mi complimento e gli chiedo come ha fatto  :Wink: 

----------

## Kernel78

 *tuxer wrote:*   

> Conosco abbastanza bene le mie macchine per sapere cosa stanno facendo sempre e comunque per fortuna...
> 
> 

 

Permettimi di dissentire, hai aperto questo 3d dicento che ti eri spaventato perchè la cpu era a palla senza motivo apparente  :Laughing: 

 *tuxer wrote:*   

> 
> 
> E poi come spiegheresti l'interfaccia di rete esterna vista come sulla rete locale?? (a proposito che senso ha comunque?)
> 
> 

 

Questa è la cosa più strana  :Shocked: 

 *tuxer wrote:*   

> 
> 
> Ho una sorta di logging remoto, logwatch mi manda mail ogni giorno, ho l'ip se è per quello, non lo denuncio perché non ha fatto niente di male pare, anzi se lo ribecco mi complimento e gli chiedo come ha fatto 

 

Il fatto stesso di penetrare in un sistema protetto forzandolo è illegale (forse è illegale anche solo fare port-scanning ma non vorrei dire cavolate), quindi potresti denunciarlo.

----------

## tuxer

 *Quote:*   

> Il fatto stesso di penetrare in un sistema protetto forzandolo è illegale (forse è illegale anche solo fare port-scanning ma non vorrei dire cavolate), quindi potresti denunciarlo.

 

Beh allora penetrare nei sistemi della PA non è illegale  :Very Happy:  (non rientrando nella parola protetto)

No certamente potrei denunciarlo, però non mi va perché non mi ha dato nessun fastidio ed è stato bravo...

Port scanning non è illegale, però se il tuo provider si accorge di queste tue bussate insistenti in giro per la rete si incacchia un poco e prima avvisa e poi butta  fuori a calci in c**o  :Wink: 

----------

## Cazzantonio

Davvero incredibile (almeno con i dati che hai dato te)....  :Shocked: 

Knockd + ssh su porta non standard..... e che cavolo ci dovevi mettere anche?  :Shocked:  Una tagliola sul cavo ethernet?

Sarebbe davvero istruttivo capire come abbia fatto a bucarti la macchina questo tipo...  :Confused: 

Sicuro che non fosse uno che sapeva del knockd? Magari ti sniffava il traffico da tempo....

----------

## GiRa

Se sei certo che ti abbaino buacato la macchina pialla senza pietà.

----------

## tuxer

Possibile sapesse che usavo knockd...

Ah un altra cosa mi è venuta in mente, ho visto nei log che le interfaccie di rete (anche quella locale) sono entrate in modalità promiscua senza che IO avessi detto loro di farle, lo stronzetto mi ha usato tcpdump a sbafo, non vale!!!

Muaahah adesso è finita la pacchia, mi sa che faccio il restore di un dump vecchio e poi

knock su porte inimmaginabili (numeri di Mersenne magari, peccato che > 65536 non si può), openvpn, ssh solo con chiavi e TAGLIOLE sul cavo di rete, e voglio vedere se viene ancora!

----------

## tuxer

```
Jun 23 21:02:15 jabba eth0: Setting promiscuous mode.

Jun 23 21:02:16 jabba eth0: Setting promiscuous mode.

Jun 24 01:32:45 jabba eth0: Setting promiscuous mode.

Jun 24 01:32:45 jabba eth0: Setting promiscuous mode.

Jun 24 01:32:45 jabba eth0: Setting promiscuous mode.

Jun 24 01:32:45 jabba eth0: Setting promiscuous mode.

Jun 24 01:32:45 jabba eth0: Setting promiscuous mode.

Jun 24 01:32:45 jabba eth0: Setting promiscuous mode.

Jun 24 01:32:45 jabba eth0: Setting promiscuous mode.

Jun 24 01:32:45 jabba eth0: Setting promiscuous mode.

Jun 24 01:37:29 jabba eth0: Setting promiscuous mode.

Jun 24 01:37:29 jabba eth0: Setting promiscuous mode.

Jun 24 01:37:30 jabba eth0: Setting promiscuous mode.

Jun 24 01:37:30 jabba eth0: Setting promiscuous mode.

Jun 24 01:37:30 jabba eth0: Setting promiscuous mode.

Jun 24 01:37:30 jabba eth0: Setting promiscuous mode.

Jun 24 01:37:30 jabba eth0: Setting promiscuous mode.

Jun 24 01:37:30 jabba eth0: Setting promiscuous mode.

Jun 24 01:37:30 jabba eth0: Setting promiscuous mode.

Jun 24 01:37:30 jabba eth0: Setting promiscuous mode.

Jun 24 01:42:32 jabba device eth1 entered promiscuous mode

Jun 24 01:42:32 jabba eth0: Setting promiscuous mode.

Jun 24 01:42:32 jabba device eth0 entered promiscuous mode
```

 :Confused:   :Confused: 

Che diavolo vuol dire "setting promiscuos mode"?? nella foga avevo letto entered, ma è diversa la faccenda pare...

----------

## tuxer

E ora mi resta da capire che accidenti è questo che conversa in telnet con la mia porta 2816, che siccome sarebbe chiusa più che chiusa vuol dire che è stato il mio router a iniziare la conversazione...

```

tcpdump -i eth1 src port 23 or dst port 2816

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes

12:43:00.475011 IP c221-15.i03-8.onvol.net.telnet > adsl203-xxx-xxx.mclink.it.1905: . ack 4109253611 win 1408 <nop,nop,timestamp 26

206399 39372125>

12:43:00.572003 IP c221-15.i03-8.onvol.net.telnet > adsl203-xxx-xxx.mclink.it.1905: . ack 1099 win 310 <nop,nop,timestamp 26206411 

```

'azzo vuole questo?[/code]

----------

## Frez

 *tuxer wrote:*   

> 
> 
> Muaahah adesso è finita la pacchia, mi sa che faccio il restore di un dump vecchio e poi
> 
> knock su porte inimmaginabili (numeri di Mersenne magari, peccato che > 65536 non si può), openvpn, ssh solo con chiavi e TAGLIOLE sul cavo di rete, e voglio vedere se viene ancora!

 

Se e' successo una volta, puo' benissimo succedere ancora.

Questa cosa mi preoccupa non poco, anche perche' mi stavo giusto apprestando a fare una cosa analoga (

knockd e ssh su porta bislacca).

Credo di non essere il solo ad essere interessato alla faccenda e mi piacerebbe che tu ci tenessi informati qualora dovessi saperne di piu'.

grazie  :Smile: 

----------

## tuxer

```
tcp        0   8182 adsl203-1xx-0xx.mc:1905 c221-15.i03-8.on:telnet ESTABLISHED 21641/overnetclc
```

ma porco vigliacco è overnet che fa quel traffico strano!

Ma a quale pro?

----------

## Frez

 *tuxer wrote:*   

> 
> 
> Che diavolo vuol dire "setting promiscuos mode"?? nella foga avevo letto entered, ma è diversa la faccenda pare...

 

Credo che dipenda dal diverso driver utilizzato (le due schede di rete sono diverse no ?)

Facendo:

```

tatoine ~ # cd /usr/src/linux/drivers/net/

tatoine net # grep promiscuous * | grep printk

3c515.c:      printk("%s: Setting promiscuous mode.\n",

3c59x.c:      printk(KERN_NOTICE "%s: Setting promiscuous mode.\n", dev->name);

amd8111e.c:   printk(KERN_INFO "%s: Setting  promiscuous mode.\n",dev->name);

eepro.c:      printk(KERN_INFO "%s: promiscuous mode enabled.\n", dev->name);

gianfar.c:    printk(KERN_INFO "%s: Entering promiscuous mode.\n",

```

sembrerebbe che driver diversi utilizzino (a volte) messaggi lievemente differenti quando l'interfaccia viene messa in modo promiscuo.

(Sono ben lontano dall'essere un kernel-guru, quindi potrei anche aver scritto bischerate)

----------

## fat_penguin

La cosa mi sembra un po strana... al limite dell' x-file!

Cmq, che versione di SSH usi? Hai configurato bene il demone in questione?

1) disabilitare il protocollo 1 (vulnerabile)

2) disabilitare il login da root (sempre!!)

Una cosa che puoi fare e controllare con il comando

```
netstat -ap
```

che non ci siano strani processi che comunichino via rete...

Hai detto che la tua macchina fa da "gateway e mille altre cose". Non è che per caso hai qualche servizio attivo che fa cose strane... o peggio che sia buggato?

La questione del "promiscuous mode" solitamente è data dal fatto che gli sniffer di rete,per poter ascoltare tutto il traffico di rete e non solo quello destinato alla macchina stessa, usano questa modalità! 

In fine: analizzando il tutto sembra veramente improbabile che sia stato un attacco "esterno". Sicuro che non sia qualche amico giocherellone in possesso di info utili per accedere alla tua macchina? Cioè, se fossi un hacker non verrei a buttar tempo nel tentativo di accedere alla tua macchina... Cmq non si sa mai....  :Wink: 

byebye

fat_penguin

----------

## earcar

 *tuxer wrote:*   

> 
> 
> ```
> Jun 23 21:02:15 jabba eth0: Setting promiscuous mode.
> 
> ...

 

Quel warning in genere appare quando sniffi i pacchetti con tcpdump e mi pare anche con ettercap e ethereal o altri programmi simili

----------

## comio

 *earcar wrote:*   

>  *tuxer wrote:*   
> 
> ```
> Jun 23 21:02:15 jabba eth0: Setting promiscuous mode.
> 
> ...

 

qualsiasi programma che voglia sniffare tutto il traffico di rete che arriva la sk di rete (oltre a quello diretto al pc), deve passare in promiscuous mode.

ciao

----------

## xchris

attenzione che molti prg di check di rete mettono la scheda in promiscuos... 

Per curiosita' la macchina come e' collegata alla rete?

il fatto che siano entrari e' cmq ancora da stabilire.

Come ne avevamo parlato tempo fa il knock e' una misura di sicurezza in + ma non garantisce nulla!

(diciamo che taglia via solo i lamerozzi)

Pero' un server ssh non cosi' bucabile....

Sei proprio sicuro che la macchina sia gentoo? se fosse Redhat sarebbe gia' tutto + spiegabile.

(per l'ip assegnato)

ciao

----------

## tuxer

La macchina è collegata su eth1 a un router (che però accetta un mac solo una cosa un po' tarocca) d-link, 300+ o qualcosa del genere....

Mentre su eth0 è collegata a uno switch che a sua volta distribuisce allegramente frames nella rete locale.

Devo comunque ammettere che (mea culpa mea culpa) l'accesso a root da ssh era possibile e la pwd non era poi così complicata, quindi è anche per quello che sono sicuro che almeno una visitina l'ho ricevuta (oltre a molti altri indizi qua e là e non credo sia stato un raggio cosmico ciccioso a procurarli casualmente).

----------

## Kernel78

Io una volta ho subito un noioso tentativo di entrare (tramite ssh) nella mia macchina (ssh era sulla porta di default) ma me ne sono accorto subito data la mole di tantativi di accesso falliti (i log sono cresciuti a dismisura) e gli unici tentativi che venivano fatti erano con username e password uguali. Se l'aggressore si fosse messo a fare un brute force mi avrebbe riempito l'hd solo con i log  :Smile:   mi sembra strano quindi che tu non ti sia accorto dei tentativi prima che questi riuscissero.

O conosceva la tua password o era veramente semplice o non hai controllato i log (o magari non loggi i tentativi di accesso a ssh  :Razz:  ) in ogni caso c'è qualcosa che non mi torna...

La tua macchina era stealth con knockd e ssh su porta non standard, magari non ha la sicurezza di un server della cia, ma per riuscire a penetrare senza conoscere la porta di ssh e la pwd comporta un lavoro abbastanza lungo (sempre che la pwd non sia "pippo"  :Wink:  ) ... continua a sembrarmi strano ...

----------

## gutter

 *Kernel78 wrote:*   

> 
> 
> La tua macchina era stealth con knockd e ssh su porta non standard, magari non ha la sicurezza di un server della cia, ma per riuscire a penetrare senza conoscere la porta di ssh e la pwd comporta un lavoro abbastanza lungo (sempre che la pwd non sia "pippo"  ) ... continua a sembrarmi strano ...

 

Concordo, ma non è che è stato un tuo amico/parente  :Very Happy:   :Question: 

----------

## bld

per curiosita' non ho mai usato knockd ma.. nmap lo rileva o no? E se si, come lo rileva? Se qualcuno puo postare un nmap -sV -p[Porta] localhost sarebbe illuminante  :Razz: 

Secondo se no e' rilevabbile e' molto molto MOLTO improbabile che un attacco vada a buon fine contro una macchina che ha tutte le porte chiuse apparte una porta sshd (parliamo sempre di sshd.. ) segreta la quale viene fuori con una cosa come ping -c 6 --destaination_port --source_port non ricordo la sintassi precisa .. ma l'idea l'avete capita .

----------

## tuxer

```
La tua macchina era stealth con knockd e ssh su porta non standard, magari non ha la sicurezza di un server della cia, ma per riuscire a penetrare senza conoscere la porta di ssh e la pwd comporta un lavoro abbastanza lungo (sempre che la pwd non sia "pippo" :wink: ) ... continua a sembrarmi strano ...
```

Ti faccio notare che se fa le bussate giuste (ed era settato di default knockd per cui è moolto più facile) si apre la porta ssh, basta un syn scan di 2 secondi per vedere dove sta ssh!

Mi puzza anche a me la faccenda dei tentativi di log, visto che quelli degli ultimi 3 mesi sono stati segati e che per mail non mi è arrivato niente di strano vuol dire che ha fatto tutto in meno di un giorno...

Comunque knockd non è visibile dall'esterno, anche perché non si mette in ascolto su una porta... (in un certo senso su 3 ma non è proprio così)

----------

## Kernel78

 *tuxer wrote:*   

> 
> 
> ```
> La tua macchina era stealth con knockd e ssh su porta non standard, magari non ha la sicurezza di un server della cia, ma per riuscire a penetrare senza conoscere la porta di ssh e la pwd comporta un lavoro abbastanza lungo (sempre che la pwd non sia "pippo" :wink: ) ... continua a sembrarmi strano ...
> ```
> ...

 

Visto che avevi anche cambiato la porta per ssh pensavo avessi anche usato una bussata diversa da quella standard ma cmq uno scan delle porte dovrebbe essere, IMHO, una priorità tra le cose da far loggare (e magari impostare uno script che rifiuti ogni connessione dall'ip che ha fatto lo scanning) e visto le cose che hai fatto per rendere sicura la tua macchina (oddio avresti anche potuto cambiare la bussata, disabilitare l'accesso di root su ssh e/o usare password complesse in meno di 5 minuti  :Wink:  ) pensavo che avessi impostato il log per chiunque ti faccia un port scan ...

 *Quote:*   

> 
> 
> Mi puzza anche a me la faccenda dei tentativi di log, visto che quelli degli ultimi 3 mesi sono stati segati e che per mail non mi è arrivato niente di strano vuol dire che ha fatto tutto in meno di un giorno...
> 
> Comunque knockd non è visibile dall'esterno, anche perché non si mette in ascolto su una porta... (in un certo senso su 3 ma non è proprio così)

 

La cosa mi sembra sempre più improponibile, non è che per entrare ha, magari, sfruttato un bug, che so, del browser ? In questo modo l'avresti fatto entrare tu e si potrebbe capire l'accesso "a colpo sicuro", altrimenti conosceva il sistema e la password, non trovo altre spiegazioni (non che io sia un esperto  :Laughing:  ).

----------

## bld

Se questo server di cui stai parlando non contiene `metti qualcosa di molto molto importante` non credo sia possibile che un "hacker" una mattina si e' alzato ha messo come target questo server disperso su internet e si sia accanita a tal punto per superare le misure di siccurezza. L'altra versione sarebbe, l'attacante ha avuto una botta di culo enorme.

----------

## bld

 *gutter wrote:*   

>  *tuxer wrote:*   Beh ma l'ho spiegato cosa c'entra, ho messo quel titolo perché è quando ho visto l'output di arp -a che sono sobbalzato...
> 
>  
> 
> Secondo me adesso sintetizza meglio il contenuto 

 

scusami avevo saltato un po questa parte. arp funziona in modo "dinamico" da default. Puo essere uno "sbaglio" non vuol che qualcuno ha spoofato arp. Anzi e' una cosa che puo accadare dal esterno con MITMA ci sono tools che lo fanno in giro, ettercap per dirne uno. Il processo find potrebbe essere stato lanciato da qualche cron script per fare il db update. Non credo che ti puo basare su queste condizioni per dire che il tuo server e' stato manomesso.

----------

## Kernel78

Ha anche detto di aver trovato cancellati i log degli ultimi 3 mesi, anche se in quelli che giornalmente gli arrivavano via mail non c'erano tracce (o io presumo che non ci fossero tracce) di port scanning o tentativi di ingresso non autorizzato quindi significa che se intrusione c'è stata è stata a colpo sicuro.

O MOLTO fortunato o conosceva il sistema password compresa.

----------

## kaosone

non e' che hai fastweb?  :Rolling Eyes: 

----------

## tuxer

No no vade retro fastweb...

 *Quote:*   

> Il processo find potrebbe essere stato lanciato da qualche cron script per fare il db update. Non credo che ti puo basare su queste condizioni per dire che il tuo server e' stato manomesso.

 

Infatti questa è solo una delle cose su cui mi baso, e probabilmente la meno probante...

 *Quote:*   

> Se questo server di cui stai parlando non contiene `metti qualcosa di molto molto importante` non credo sia possibile che un "hacker" una mattina si e' alzato ha messo come target questo server disperso su internet e si sia accanita a tal punto per superare le misure di siccurezza. L'altra versione sarebbe, l'attacante ha avuto una botta di culo enorme.

 

Non c'è roba importante ma potrebbe essere molto interessante lo stesso, e il tipo di ip aiuta sicuramente...

----------

## tuxer

Ma non è che potrebbe essere stato un buco di overnet magari?

----------

## Kernel78

Se ti interessa ho trovato questo HowTo per sfruttare swatch per proteggere ssh, ti aggiorna il firewall per tagliare fuori i simpaticoni che tentano l'accesso (sbagliando password oprovando account inesistenti) e ti spedisce una mail appena questo succede.

In questo modo un aggressore potrebbe accedere a ssh solo se conosce la password (o se la metti così debole che riesca a beccarla al primo tentativo es. pwd = username) o se trova una vulnerabilità.

----------

