# Segnalazione automatica di abusi.

## Kernel78

Ciao a tutti.

Annoiato, come molti di noi, dagli innumerevoli tentativi di accesso al mio server ssh (su porta 22, figuriamoci se la cambio a causa di una marea di lamer) ho già da tempo e con gran soddisfazione swatch e iptables per aggiungere alla lista degli ip da droppare tutti quelli che tentano di accedere senza autorizzazione.

Stavo pensando di migliorare il sistema, aggiungendo anche una segnalazione automatica degli abusi.

Avevo in mente di prendere l'indirizzo email da whois ma ho notato che non tutti hanno un indirizzo abuse@... dei 193 indirizzi ip che per adesso hanno cercato di entrare nel mio sistema sono riuscito a trovare l'indirizzo abuse@ solo per 97, meglio che niente ma mi dispiace non rompere le palle anche a tutti gli altri che "permettono" questi attacchi.

Avete consigli o altre idee da proporre ?

P.S. non è che magari esiste già uno script o altro che faccia qualcosa di simile ?

----------

## GiRa

 *Kernel78 wrote:*   

> Stavo pensando di migliorare il sistema, aggiungendo anche una segnalazione automatica degli abusi.

 

E' una cosa molto poco utile. Verrai ignorato nella maggiorparte dei casi, sempre che non ti blacklistino   :Rolling Eyes: 

----------

## Kernel78

 *GiRa wrote:*   

>  *Kernel78 wrote:*   Stavo pensando di migliorare il sistema, aggiungendo anche una segnalazione automatica degli abusi. 
> 
> E' una cosa molto poco utile. Verrai ignorato nella maggiorparte dei casi, sempre che non ti blacklistino  

 

Scusa ma come mai ?

Adesso segnalo solo a Tiscali (ovviamenti gli abusi provenienti dalla sua rete) e anche se lo faccio a manina uso un template e mi rispondo sempre cordialmente ...

In fondo gli indirizzi abuse@ sono fatti proprio per segnalare gli abusi, non riesco a capire come mai dovrebbero ignorarmi o blacklistarmi solo perchè gli segnalo degli abusi   :Shocked: 

----------

## GiRa

Ignorarti perchè il tizio cinese/moldavo/jugoslavo/albanese/... spesso ti ignora (statistica della mia personalissima esperienza mica cose logiche purtroppo).

Blacklistarti perchè se l'attaccante è parecchio stupido il tuo script potrebbe mandare $n mail uguali all'ISP.

----------

## Kernel78

 *GiRa wrote:*   

> Ignorarti perchè il tizio cinese/moldavo/jugoslavo/albanese/... spesso ti ignora (statistica della mia personalissima esperienza mica cose logiche purtroppo).
> 
> Blacklistarti perchè se l'attaccante è parecchio stupido il tuo script potrebbe mandare $n mail uguali all'ISP.

 

Sull'ignorarmi posso magari essere d'accordo con te, resta cmq mio diritto segnalare un abuso a quell'indirizzo ...

Per blacklistarmi è impossibile, appena un ip tenta di accedere senza riuscirci al primo colpo quell'ip viene aggiunto a quelli che vengono droppati da iptables quindi ogni ip sarà presente solo una volta nei miei log.

Mal che vada mi ignorano ...

----------

## skakz

 *Kernel78 wrote:*   

> Sull'ignorarmi posso magari essere d'accordo con te, resta cmq mio diritto segnalare un abuso a quell'indirizzo ...
> 
> Per blacklistarmi è impossibile, appena un ip tenta di accedere senza riuscirci al primo colpo quell'ip viene aggiunto a quelli che vengono droppati da iptables quindi ogni ip sarà presente solo una volta nei miei log.
> 
> Mal che vada mi ignorano ...

 

così.. metti che per un caso fortuito.. TU.. ti colleghi al TUO server.. sbagli una piccolissima lettera nella tua password..

non solo verresti bannato dal tuo server ma verresti anche segnalato all'abuse?  :Laughing:   LOL

imho non puoi affidare questo genere di segnalazioni ad uno script automatico.. [anche se il caso fortuito dell'unica persona in buona fede ( che magari aveva sbagliato un indirizzo ip collegandosi al tuo server  :Shocked:   ) è solo uno su mille altri tentativi di intrusione fatto da lamerucci che usano programmini per forzare la password con vocabolari..]

----------

## Kernel78

 *darkdude wrote:*   

> 
> 
> così.. metti che per un caso fortuito.. TU.. ti colleghi al TUO server.. sbagli una piccolissima lettera nella tua password..
> 
> non solo verresti bannato dal tuo server ma verresti anche segnalato all'abuse?   LOL
> ...

 

Questo non succede perchè prima di collegarmi informo il mio pc sull'ip dal quale sto per collegarmi così che questo ip sia temporaneamente escluso dai controlli  :Wink: 

----------

## skakz

 *Kernel78 wrote:*   

> Questo non succede perchè prima di collegarmi informo il mio pc sull'ip dal quale sto per collegarmi così che questo ip sia temporaneamente escluso dai controlli 

 

ehm.. allora tanto vale avviare sshd SOLO quando stai per connetterti.. e stopparlo quando hai finito!! ..visto che cmq in qualche modo devi prima "informalo" sull'ip..

due validissimi metodi personalmente sperimentati sono 1) linea isdn + modem.. controlli i log con uno script.. appena chiami da un determinato numero (compare nei log) avvia sshd.. quando richiami si spegne! (integravo il tutto con smssend a modo di ricevuta di ritorno..) 2) un cellulare (il più fesso che esiste) + cavetto seriale .. questo è un pò più complicato però più elastico e ti permette di fare più cose.. devi controllare il device node in /dev che corrisponde al cellulare connesso via seriale.. poi mandi sms e in pratica comandi il pc...

ora.. per non andare completamente fuori tema..

probabilmente il whois non ti funziona correttamente con tutti gli ip perchè non hai ben impostato i server a cui inviare le query.. (in /etc/whois.conf) .. infatti il server da usare dipende dall'ip...

oppure potresti mandare una query dirattemente ad un sito che offre questo tipo di servizio come ripe.net ... magari con un wget del tipo:

```

IP="QUI_CI_METTI_L'IP_DEL_MALCAPITATO"

wget "http://www.ripe.net/perl/whois/?form_type=simple&full_query_string=&searchtext=$IP&do_search=Search"
```

poi ti analalizzi la pagina che ti scarica e ti cerchi l'indirizzo di abuse..

```
omega ~ # grep -i abuse@ index.html* | head -n1 |  awk '{print $3}' ; rm -f index.html*

abuse@telecomitalia.it

omega ~ #
```

questi sono solo esempi che mi sono venuti in mente.. spero di esserti stato di aiuto..

----------

## .:chrome:.

 *darkdude wrote:*   

> così.. metti che per un caso fortuito.. TU.. ti colleghi al TUO server.. sbagli una piccolissima lettera nella tua password..
> 
> non solo verresti bannato dal tuo server ma verresti anche segnalato all'abuse?

 appunto. questi sistemi sono solo delle piccole trovate assurde e per di più anche abbastanza stupide.

@Kernel78:

se vuoi sicurezza su un server SSH non devi fare altro che inibire il login con password e permettere solo quello con chiave.

puoi fare tutto quello che vuoi, ma il login con password, è ormai da considerarsi pericoloso! ricordo che md5 è stato dichiarato broken!

----------

## horace

 *k.gothmog wrote:*   

> 
> 
> se vuoi sicurezza su un server SSH non devi fare altro che inibire il login con password e permettere solo quello con chiave.
> 
> puoi fare tutto quello che vuoi, ma il login con password, è ormai da considerarsi pericoloso! ricordo che md5 è stato dichiarato broken!

 

ho provato a seguire questa guida OpenSSH key management, Part 1, ma non ho capito bene come configurare ssh...ne conoscete un'altra, che magari spiega più passo passo come fare?

----------

## Kernel78

 *darkdude wrote:*   

> 
> 
> ehm.. allora tanto vale avviare sshd SOLO quando stai per connetterti.. e stopparlo quando hai finito!! ..visto che cmq in qualche modo devi prima "informalo" sull'ip..
> 
> 

 

Non posso perchè non sono l'unico che si deve connettere ma gli altri hanno ip fisso e quindi a priori so quali non controllare.

 *darkdude wrote:*   

> 
> 
> due validissimi metodi personalmente sperimentati sono 1) linea isdn + modem.. controlli i log con uno script.. appena chiami da un determinato numero (compare nei log) avvia sshd.. quando richiami si spegne! (integravo il tutto con smssend a modo di ricevuta di ritorno..) 2) un cellulare (il più fesso che esiste) + cavetto seriale .. questo è un pò più complicato però più elastico e ti permette di fare più cose.. devi controllare il device node in /dev che corrisponde al cellulare connesso via seriale.. poi mandi sms e in pratica comandi il pc...
> 
> 

 

Io già uso il metodo del cellulare ed è proprio una figata

 *darkdude wrote:*   

> 
> 
> ora.. per non andare completamente fuori tema..
> 
> probabilmente il whois non ti funziona correttamente con tutti gli ip perchè non hai ben impostato i server a cui inviare le query.. (in /etc/whois.conf) .. infatti il server da usare dipende dall'ip...
> ...

 

Mi sembra strano perchè mi recupera i dati vari ma non ci trova un indirizzo abuse@ ...

Proverò a controllare o ad usare il metodo che mi suggerisci e farò sapere i risultati.

 *k.gothmog wrote:*   

> 
> 
> appunto. questi sistemi sono solo delle piccole trovate assurde e per di più anche abbastanza stupide.
> 
> 

 

Sempre lapidario nei tuoi commenti  :Wink: 

 *Quote:*   

> 
> 
> @Kernel78:
> 
> se vuoi sicurezza su un server SSH non devi fare altro che inibire il login con password e permettere solo quello con chiave.
> ...

 

Il mio server è già sicuro e non mi preoccupo per la sicurezza ma mi annoia trovare i log "sporchi" (anche se con il metodo che ho già implementato lo sporco è diminuito di molto).

Io posso avere una macchina con un sistema di sicurezza a prova di furto ma mi darebbe fastidio cmq sapere (e trovare tracce) di ladruncoli che provano a fregarmela. Solo perchè non ci riescono non significa che devo stare in silenzio a guardare   :Confused: 

----------

## .:chrome:.

 *Kernel78 wrote:*   

> Il mio server è già sicuro e non mi preoccupo per la sicurezza ma mi annoia trovare i log "sporchi" (anche se con il metodo che ho già implementato lo sporco è diminuito di molto).
> 
> Io posso avere una macchina con un sistema di sicurezza a prova di furto ma mi darebbe fastidio cmq sapere (e trovare tracce) di ladruncoli che provano a fregarmela. Solo perchè non ci riescono non significa che devo stare in silenzio a guardare  

 

ti prego, non offenderti, ma questa è un'emerita cazzata

per definizione, la sicurezza in senso assoluto non esiste, e sempre per definizione un server SSH che accetta login con password è insicuro e stai certo che un giorno entreranno.

usando il login solo con chiave tagli la testa al toro. entra solo chi ha una chiave. a tutti gli altri il servizio appare chiuso.

lasciare il login con password è ormai un gesto irresponsabile e stupido. altrettanto lo è mandare segnalazioni agli abuse: non puoi lamentarti perché ti rubano la macchina, se poi tu la lasci con le portiere aperte e òle chiavi inserite

----------

## skakz

 *k.gothmog wrote:*   

> usando il login solo con chiave tagli la testa al toro. entra solo chi ha una chiave. a tutti gli altri il servizio appare chiuso.

 

guarda che anche con la chiave non è sicuro niente..  può finire in mani sbagliate o andare persa..

 *k.gothmog wrote:*   

> 
> 
> lasciare il login con password è ormai un gesto irresponsabile e stupido. altrettanto lo è mandare segnalazioni agli abuse: non puoi lamentarti perché ti rubano la macchina, se poi tu la lasci con le portiere aperte e òle chiavi inserite

 

segnalare gli abuse è un gesto irresponsabile?? (..parlo di segnalare abuse non 1 tentativo di connessione fallito)

e certo che posso lamentarmi (anzi devo) se mi rubano la macchina anche se ci avevo messo sopra un cartello gigante con scritto "PER FAVORE RUBATEMELA!!!" ... è di mia prorietà e nessuno ha il diritto di danneggiarla/usarla/altro.

----------

## Cazzantonio

 *k.gothmog wrote:*   

> ti prego, non offenderti, ma questa è un'emerita cazzata
> 
> ...................
> 
> lasciare il login con password è ormai un gesto irresponsabile e stupido.

 

Modera i toni!   :Rolling Eyes: 

Ti consigio una forma del tipo

"non offenderti ma questa mi sembra una cosa sbagliata"

e

"lasciare il login con password è ormai riconosciuta come una cosa obsoleta e insicura"

Dici le stesse cose ma in modo molto più educato non ti pare?   :Rolling Eyes: 

P.S. non scatenate flame

----------

## .:chrome:.

 *darkdude wrote:*   

> guarda che anche con la chiave non è sicuro niente..  può finire in mani sbagliate o andare persa..

 la chiave infatti andrebbe protetta da password, non genero mai chiave a meno di 4096 bit, giro con una chiave UDB con una copia di tutte le chiavi, e comunque le sostituisco periodicamente.

 *darkdude wrote:*   

> segnalare gli abuse è un gesto irresponsabile?? (..parlo di segnalare abuse non 1 tentativo di connessione fallito)
> 
> e certo che posso lamentarmi (anzi devo) se mi rubano la macchina anche se ci avevo messo sopra un cartello gigante con scritto "PER FAVORE RUBATEMELA!!!" ... è di mia prorietà e nessuno ha il diritto di danneggiarla/usarla/altro.

 non mi riferivo alla segnalazione, quanto all'affidare a sicurezza di una macchina alla sicurezza della password.

è un mezzo intrinsecamente insicuro, e se scelgo di usarlo sono solo fatti miei. qualora dovessi avere dei danni e dovessi lamentarmi CHIUNQUE mi risponderebbe che non ho preso le adeguate misure di sicurezza, e la colpa ricadrebbe automaticamente su di me.

----------

## Cazzantonio

State andando OT oltretutto... io direi di tornare al tema centrale del thread...   :Rolling Eyes: 

----------

## Kernel78

 *k.gothmog wrote:*   

> 
> 
> ti prego, non offenderti, ma questa è un'emerita cazzata
> 
> 

 

Io posso anche non offendermi ma tu puoi anche usare termini meno volgari, ci sono molti altri modi per esprimere lo stesso concetto in maniera assolutamente non offensiva.

Io non mi offendo ma ti prego di imparare a esprimerti in maniera non offensiava, almeno con me  :Wink:  (così ti risparmi l'umiliazione di dovermi pregare per qualcosa  :Laughing:  )

 *k.gothmog wrote:*   

> 
> 
> per definizione, la sicurezza in senso assoluto non esiste, e sempre per definizione un server SSH che accetta login con password è insicuro e stai certo che un giorno entreranno.
> 
> usando il login solo con chiave tagli la testa al toro. entra solo chi ha una chiave. a tutti gli altri il servizio appare chiuso.
> ...

 

Lasciami allora ridefinire la mia affermazione...

Il mio server accetta username e password ma solo per due username e se qualcuno prova a entrare sbagliando anche solo 1 tentativo il mio server aggiunge quell'ip alla lista di quelli da droppare.

Non sarà il massimo della sicurezza ma per fare più tentativi devono "bruciare" più indirizzi ip e il fatto che non ho nulla di rilevante nel mio pc non dovrebbe dare grandi motivazioni ad un potenziale invasore ...

 *k.gothmog wrote:*   

> 
> 
> lasciare il login con password è ormai un gesto irresponsabile e stupido. altrettanto lo è mandare segnalazioni agli abuse: non puoi lamentarti perché ti rubano la macchina, se poi tu la lasci con le portiere aperte e òle chiavi inserite

 

Questa mi sembra un esagerazione bella e buona, se la metafora reggesse tutti i 199 ip che fino ad ora hanno tentato di entrare sarebbero dovuti riuscire nel loro intento senza il minimo problema. Al massimo una similitudine più calzante potrebbe essere tra una porta chiusa a chiave e il caveau di una banca.

Che possa essere un gesto irresponsabile posso essere anche d'accordo ma non trovo che lo sia ne più ne meno che fare "FUD" con le tue similitudini esagerate. Che possa essere stupido ... diamine, dai messaggi che scrivi si vede che sei un tipo "focoso" ma visto che non mi conosci e non conosci le motivazioni delle mie azioni ti pregherei di evitare o smussare questi commenti gratuiti   :Wink: 

----------

## .:chrome:.

 *Kernel78 wrote:*   

> Questa mi sembra un esagerazione bella e buona, se la metafora reggesse tutti i 199 ip che fino ad ora hanno tentato di entrare sarebbero dovuti riuscire nel loro intento senza il minimo problema

 no, aspetta... non così...

la questione è she SSH si basa si hash, e sulle collisioni si MD5 e SHA-1 si è scritta una valanga di roba dall'estate 2004 ad oggi. con poche ore di calcolo di un normalissimo PC (nemmeno troppo potente) che trovi in qualsiasi casa puoi generare un hash valido per il login. questo lo sapevi?

le chiavi si basano su un sistema challenge-response non replicabile in assenza della chiave privata. a te non costa niente e risolveresti in blocco tutti i tuoi problemi, compreso l'invio degli abuse, che con ogni probabilità verranno pure classificati come spam

----------

## Ic3M4n

beh che dire... anche qui non posso non dar ragione al nostro "brusco" k.gothmog. inoltre oserei dire che l'utilizzo delle chiavi è anche molto ma molto più comodo, oltre, logicamente ad aumentare la sicurezza intrinseca dell'autenticazione. 

c'è da dire per contro che si può invece ricorrere in tutta quella serie di rischi causati dall'accesso del client da persone esterne, che con un semplice ssh host hanno accesso all'altra macchina (dando per scontato che chiunque inibisca l'accesso via ssh a root).

----------

## Kernel78

 *k.gothmog wrote:*   

>  *Kernel78 wrote:*   Questa mi sembra un esagerazione bella e buona, se la metafora reggesse tutti i 199 ip che fino ad ora hanno tentato di entrare sarebbero dovuti riuscire nel loro intento senza il minimo problema no, aspetta... non così...
> 
> la questione è she SSH si basa si hash, e sulle collisioni si MD5 e SHA-1 si è scritta una valanga di roba dall'estate 2004 ad oggi. con poche ore di calcolo di un normalissimo PC (nemmeno troppo potente) che trovi in qualsiasi casa puoi generare un hash valido per il login. questo lo sapevi?
> 
> 

 

Sapevo dell'insicurezza del metodo ma non ho un idea precisa di quante siano le poche ore o quanto debba essere potente il "nemmeno troppo potente" pc.

In ogni caso qualcuno dovrebbe informare quei quasi 200 lamer che hanno tentato di accedere al mio pc in una maniera così anacronistica come il brute force ... aspetta, loro però non hanno nemmeno idea di quali siano i login validi per la mia macchina, dovrebbero precalcolarsi hash validi per ogni utente possibile e cambiare indirizzo ip ogni volta che ne provano uno sbagliato (visto che io gli brucio quell'ip) ...

Puoi lamentarti dicendomi che mi complico la vita inutilmente, che l'uso delle chiavi sarebbe più semplice e trovare milioni di altre motivazioni per cui sarebbe meglio che io passassi alle chiavi abbandonando il sistema login/password ma al momento mi va bene così e non credo che esistano abbastanza ip (perlomeno abbastanza ipv4) per riuscire ad azzeccare uno dei due login che uso quindi ai fini pratici, tenendo conto del tempo che può impiegare un individo o anche una multinazionale del male votata a entrare nella mia macchina a cambiare ip per ogni nuovo tentativo ritengo di essere abbastanza sicuro per i prossimi 3-4 secoli  :Laughing: 

 *Quote:*   

> 
> 
> le chiavi si basano su un sistema challenge-response non replicabile in assenza della chiave privata. a te non costa niente e risolveresti in blocco tutti i tuoi problemi, compreso l'invio degli abuse, che con ogni probabilità verranno pure classificati come spam

 

Per adesso agli abuse che ho segnalato a tiscali mi hanno sempre risposto gentilmente e cortesemente ...

Certo, con la chiave non avrei nemmeno i log sporchi ma mi piace pensare che in questo modo creo almeno un minimo di fastidio a quei lamer che giocano a sentirsi fiki ...

----------

## makoomba

ancora con sta storia delle collisioni MD5.....

il login con password è insicuro quando si scelgono password tipo "pippo", non certo perchè è possibile trovare una collisione MD5 in qualche ora.

----------

## Kernel78

 *makoomba wrote:*   

> ancora con sta storia delle collisioni MD5.....
> 
> il login con password è insicuro quando si scelgono password tipo "pippo", non certo perchè è possibile trovare una collisione MD5 in qualche ora.

 

calma calma ...

vorresti farmi credere che la mia non è una scelta stupida ???  :Laughing: 

----------

## makoomba

 *Kernel78 wrote:*   

> vorresti farmi credere che la mia non è una scelta stupida ??? 

 

voglio dire che tutto il discorso sulle weakness degli algoritmi di hashing è fuori luogo quando si parla di autenticazione.

per entrare devi sapere la password o beccare una stringa che "collida" con l'hash memorizzato nel sistema.

dal momento che l'hash è IGNOTO, non si ha modo di utilizzare alcun algoritmo per sfruttare la debolezza della funzione.

quindi, a meno che tu scelga pw a ca$$o, è estremamente improbabile che qualcuno riesca ad entrare dalla porta d'ingresso.

----------

## AMICOHacker

Port knocking ti dice niente?

----------

## Kernel78

 *AMICOHacker wrote:*   

> Port knocking ti dice niente?

 

Che onore un nuovo utente posta il suo primo messaggio in un mio thread, ciao.

Non vorrei dirti che il tuo messaggio mi sembra un po' arrogante (e quindi non te lo dico).

Quello che mi dice port knock è che tu non hai letto la discussione, potrei aggirare la questione che ho posto già tramite l'uso di chiavi senza andare ad usare altro sw e se non voglio usare le chiavi è perchè non voglio aggirare la questione (quindi non vedo perchè mi dovrei complicare la vita con il port knocking)

----------

## AMICOHacker

Probabilmente ho letto male ed interpretato anche peggio.

Chiedo venia.

Mi sembrava opportuno suggerire una soluzione, solo per dare lecito contributo.

Ancora scusa.

Ma probabilmente, vista la tua risposta "...potrei aggirare la questione che ho posto già tramite l'uso di chiavi senza andare ad usare altro sw e..." è evidente che non conosci il dettaglio del port knocking. Probabilmente avrei fatto meglio a ...farmi i server miei.

----------

## lavish

Ragazzi, se volete continuare la discussione su quale sia il metodo più sicuro, se l'uso di passwd invece che di chiavi sia affidabili etc, splittiamo ed evitiamo di andare OT.

Invito tutti comunque ad abbassare un po' i toni, sembra che quando si parla di sicurezza ognuno deve saperla più lunga degli altri  :Wink: 

Questo mio post comunque non è altro che una ripetizione di quanto detto da Cazzantonio prima.

----------

## Kernel78

 *AMICOHacker wrote:*   

> 
> 
> Ma probabilmente, vista la tua risposta "...potrei aggirare la questione che ho posto già tramite l'uso di chiavi senza andare ad usare altro sw e..." è evidente che non conosci il dettaglio del port knocking. Probabilmente avrei fatto meglio a ...farmi i server miei.

 

 :Confused:  non riesco a capire cosa intendi ... è pur vero che non conosco molto il port-knocking ma il meccanismo in se mi pare abbastanza elementare e mi sembra che per implementare una soluzione basata su esso serva quantomeno un server che interpreti le "bussate" sulle varie porte per aprire o meno la porta desiderata.

@lavish

forse è meglio splittare ...

----------

## AMICOHacker

Un piccolo trafiletto senza alcuna pretesa.

Se vi occupate di servizi di rete basati su autenticazione (es. SSH), probabilmente userete il processo di autenticazione e di cifratura messo a disposizione dal servizio stesso. 

Dato che i metodi per identificare la password sono poco utili quando si tratta di penetrare un sistema ben protetto, un intruso potrebbe cercare di bypassare il problema sfruttando un bug per elevare i propri privilegi. Dal momento che uno zero-day exploit può colpire il nostro sistema in qualsiasi momento, siamo costretti a monitorare gli avvisi di vulnerabilità ed a mantenere il sistema sempre aggiornato con eventuali patch. Ma diciamo la verità: leggere gli avvisi di vulnerabilità è noioso e ingrato e nel 99,99% delle volte inutile. Possono trascorrere anni oppure potrebbe non accadere mai che un exploit per la nostra versione del programma venga scovato e segnalato. Quindi cosa possiamo fare?

Immaginate di essere in grado tenere la porta della vostra applicazione (SSH tcp/22) chiusa; in questo modo renderete il servizio inaccessibile e protetto da exploit, abilitando il servizio solo quando viene effettivamente richiesto da uno degli utenti autorizzati. 

Molti di voi si staranno chiedendo: "ma come si accede al servizio se le porte sono chiuse e le connessioni sono impossibili?"

E' qui che entra in gioco il port knocking.

----------

## gutter

 *AMICOHacker wrote:*   

> 
> 
> E' qui che entra in gioco il port knocking.
> 
> 

 

Ci sono dei topic a riguardo sul forum  :Wink: 

----------

## .:chrome:.

 *Kernel78 wrote:*   

> non voglio usare le chiavi è perchè non voglio aggirare la questione

 scusa ma non riesco proprio a capire.

l'uso delle chiavi non è un modo per aggirare il problema, ma per risolverlo. prova a leggere i manuali su openSSH, e sulla sicurezza informatica: tutti consigliano quella soluzione che NON è certo un metterci una pezza

----------

## makoomba

 *Kernel78 wrote:*   

> @lavish
> 
> forse è meglio splittare ...

 

concordo

personalmente, ritengo che l'uso delle chiavi sia da preferire per i motivi che già sono stati detti.

detto questo, in relazione alla scelta di Kernel78, vorrei far notare come il giovine si sia preoccupato di bannare al primo tentativo il lamer

che tenta di beccare la password.

quante probabilità ci sono che lo script lanciato dall'hacker wannabe indovini una strong password al primo tentativo ?

è una scelta che può avere una sua motivazione e resta comunque una soluzione sicura che va rispettata a prescindere di quale che siano le proprie preferenze.

----------

## Kernel78

@ AMICOHacker

Continuo a non capirti, so cosa sia il port-knocking e che per implementarlo serve un sw lato server che riconosca la bussata fatta dal client per aprigli il servizio desiderato ... (inoltre essendo spesso dietro un proxy avrei qualche problema a fare la "bussata" per farmi aprire la porta)

 *k.gothmog wrote:*   

> 
> 
> scusa ma non riesco proprio a capire.
> 
> l'uso delle chiavi non è un modo per aggirare il problema, ma per risolverlo. prova a leggere i manuali su openSSH, e sulla sicurezza informatica: tutti consigliano quella soluzione che NON è certo un metterci una pezza
> ...

 

O non mi sono spiegato o non hai capito quale sia il mio problema ...

Io non mi chiedo come sia possibile rendere più sicuro il mio server, il mio problema e riuscire a ottenere in automatico l'indirizzo abuse@ per segnalare il lamer che ha tentato di entrare senza autorizzazione nel mio pc, non mi interessa minimamente trovare modi per far si che questi lamer non possano nemmeno tentare e anzi ogni proposta che porterebbe a quest'esito è per i miei scopi controproducente (chiavi e port-knocking)

 *makoomba wrote:*   

> 
> 
> personalmente, ritengo che l'uso delle chiavi sia da preferire per i motivi che già sono stati detti.
> 
> detto questo, in relazione alla scelta di Kernel78, vorrei far notare come il giovine si sia preoccupato di bannare al primo tentativo il lamer che tenta di beccare la password.
> ...

 

Finalmente qualcuno che ha capito quale sia il punto della mia discussione  :Wink: 

 *makoomba wrote:*   

> 
> 
> quante probabilità ci sono che lo script lanciato dall'hacker wannabe indovini una strong password al primo tentativo ?
> 
> è una scelta che può avere una sua motivazione e resta comunque una soluzione sicura che va rispettata a prescindere di quale che siano le proprie preferenze.

 

Non solo la password, al primo tentativo deve beccare username e password, quante probabilità ci sono che indovini al primo colpo questa accoppiata ? Tenendo conto che entrambi sono stringhe alfanumeriche con caratteri maiuscoli e minuscoli e altri caratteri stampabili.

----------

## Cazzantonio

 *Kernel78 wrote:*   

> O non mi sono spiegato o non hai capito quale sia il mio problema ...
> 
> Io non mi chiedo come sia possibile rendere più sicuro il mio server, il mio problema e riuscire a ottenere in automatico l'indirizzo abuse@ per segnalare il lamer che ha tentato di entrare senza autorizzazione nel mio pc, non mi interessa minimamente trovare modi per far si che questi lamer non possano nemmeno tentare e anzi ogni proposta che porterebbe a quest'esito è per i miei scopi controproducente (chiavi e port-knocking)

 

Bene tornate IT e se vedo altri post divagare sulla sicurezza chiudo il thread (o sposto tutti i post OT nel thread del trolling...)

----------

## !equilibrium

 *lavish wrote:*   

> Invito tutti comunque ad abbassare un po' i toni, sembra che quando si parla di sicurezza ognuno deve saperla più lunga degli altri 

 

Freud avrebbe da dire molto a riguardo ....    :Laughing:   :Laughing:   :Laughing: 

(scusate l'OT estremo ma non ho saputo resistere, potete lapidarmi)

 *kernel78 wrote:*   

>  il mio problema e riuscire a ottenere in automatico l'indirizzo abuse@ per segnalare il lamer che ha tentato di entrare senza autorizzazione nel mio pc

 

tornando IT, un modo rapido per identificare l'indirizzo abuse di una rete, è quello di interrogare il whois; se l'IP che abbiamo 'bloccato' fa parte di una sottorete registrata nel whois, in automatico trovi anche l'email per l'abuse registrato fra i dati del whois.

(sempre che abbia interpretato correttamente il problema)

----------

## Kernel78

 *DarkAngel76 wrote:*   

> tornando IT, un modo rapido per identificare l'indirizzo abuse di una rete, è quello di interrogare il whois; se l'IP che abbiamo 'bloccato' fa parte di una sottorete registrata nel whois, in automatico trovi anche l'email per l'abuse registrato fra i dati del whois.
> 
> (sempre che abbia interpretato correttamente il problema)

 

Il mio problema è proprio che il whois non sempre mi restituisce un indirizzo abuse@ ...

----------

## !equilibrium

 *Kernel78 wrote:*   

> Il mio problema è proprio che il whois non sempre mi restituisce un indirizzo abuse@ ...

 

allora in questo caso, sempre usando whois, puoi dirgli di fare la scansione della sottorete + prossima (c'è un'opzione apposita da passargli, ma non la ricordo sinceramente), questo dovrebbe darti molte + chance di trovare un valido @abuse per la sottorete che stai analizzando.

----------

## gutter

 *DarkAngel76 wrote:*   

>  *lavish wrote:*   Invito tutti comunque ad abbassare un po' i toni, sembra che quando si parla di sicurezza ognuno deve saperla più lunga degli altri  
> 
> Freud avrebbe da dire molto a riguardo ....     
> 
> 

 

Concordo   :Wink: 

----------

## Ic3M4n

 *Kernel78 wrote:*   

> Il mio problema è proprio che il whois non sempre mi restituisce un indirizzo abuse@ ...

 

una domanda stupida da un mezzo niubbo di tutto ciò che riguarda il problema:

ma se uno si mette dietro un proxy, e mi sembra di aver capito che ci sono molte possibilità per farlo direttamente e senza molti problemi, tu effettivamente andresti ad effettuare il whois su di questo o sbaglio?

in questo caso uno potrebbe non avere un @abuse o anche su di questo sbaglio?

----------

## Kernel78

 *Ic3M4n wrote:*   

>  *Kernel78 wrote:*   Il mio problema è proprio che il whois non sempre mi restituisce un indirizzo abuse@ ... 
> 
> una domanda stupida da un mezzo niubbo di tutto ciò che riguarda il problema:
> 
> ma se uno si mette dietro un proxy, e mi sembra di aver capito che ci sono molte possibilità per farlo direttamente e senza molti problemi, tu effettivamente andresti ad effettuare il whois su di questo o sbaglio?
> ...

 

La risposta è: dipende.

Io per collegarmi da dietro un proxy ho dovuto aprire in ascolto sul mio server anche un'altra porta visto che la porta 22 spesso viene filtrata dai proxy.

Se effettivamente l'attacco passasse attraverso un proxy il whois chiederebbe i dati del proxy.

----------

## !equilibrium

io blocco con iptables tutti gli open proxy a prescindere, così mi levo il problema del tutto.

Poi se all'atto pratico mi servono, bhe è un'altro paio di maniche e sinceramente non saprei come risolvere il problema.

----------

## Kernel78

 *DarkAngel76 wrote:*   

> io blocco con iptables tutti gli open proxy a prescindere, così mi levo il problema del tutto.
> 
> Poi se all'atto pratico mi servono, bhe è un'altro paio di maniche e sinceramente non saprei come risolvere il problema.

 

Scusa ma come fai a bloccare tutti gli open proxy ?

----------

## !equilibrium

 *Kernel78 wrote:*   

> Scusa ma come fai a bloccare tutti gli open proxy ?

 

ci sono liste pubbliche aggiornate regolarmente (mediamente ogni 3/4 ore) con i maggiori open proxy.

http://www.lurhq.com/proxies.html

+

google

----------

## Kernel78

 *DarkAngel76 wrote:*   

>  *Kernel78 wrote:*   Scusa ma come fai a bloccare tutti gli open proxy ? 
> 
> ci sono liste pubbliche aggiornate regolarmente (mediamente ogni 3/4 ore) con i maggiori open proxy.

 

Ok, ti basi sulle liste, pensavo ci fosse un modo veloce per capire se la connessione proveniva da un open proxy ...

Basandosi sulle liste però non li blocchi mica tutti, come rettifichi anche tu becchi i maggiori.

----------

## Ic3M4n

 *Kernel78 wrote:*   

> 
> 
> La risposta è: dipende.
> 
> Io per collegarmi da dietro un proxy ho dovuto aprire in ascolto sul mio server anche un'altra porta visto che la porta 22 spesso viene filtrata dai proxy.
> ...

 

beh... ok, questo però è quello che fa il tuo proxy. come dice DarkAngel76 gli openproxy fanno una cosa differente da quello che fai tu. anche perchè solitamente sono utilizzati per "nascondere" le proprie tracce.

----------

## !equilibrium

 *Kernel78 wrote:*   

> Basandosi sulle liste però non li blocchi mica tutti, come rettifichi anche tu becchi i maggiori.

 

si esatto, e non solo, io per prevenire, mi sono dotato di un firewall harware a monte di tutto (nota marca di cui non faccio nomi, è di colore rosso/bianco), il quale offre come servizio il bloccaggio della stra grande maggioranza di open proxies (e altre cose), ovviamente è un servizio a pagamento, ma che mi aumenta la sicurezza da questo punto di vista.

----------

## .:chrome:.

 *Kernel78 wrote:*   

> O non mi sono spiegato o non hai capito quale sia il mio problema ...
> 
> Io non mi chiedo come sia possibile rendere più sicuro il mio server, il mio problema e riuscire a ottenere in automatico l'indirizzo abuse@ per segnalare il lamer che ha tentato di entrare senza autorizzazione nel mio pc, non mi interessa minimamente trovare modi per far si che questi lamer non possano nemmeno tentare

 effettivamente avevo perso di vista il senso della discussione ed ero proprio partito per una mia personalissima divagazione. ti chiedo scusa

----------

## Kernel78

 *k.gothmog wrote:*   

>  *Kernel78 wrote:*   O non mi sono spiegato o non hai capito quale sia il mio problema ...
> 
> Io non mi chiedo come sia possibile rendere più sicuro il mio server, il mio problema e riuscire a ottenere in automatico l'indirizzo abuse@ per segnalare il lamer che ha tentato di entrare senza autorizzazione nel mio pc, non mi interessa minimamente trovare modi per far si che questi lamer non possano nemmeno tentare effettivamente avevo perso di vista il senso della discussione ed ero proprio partito per una mia personalissima divagazione. ti chiedo scusa

 

e de che ?

Apprezzo comunque il tuo apporto  :Wink:  (anche se sui modi si potrebbe ancora lavorare un po'   :Laughing:  )

----------

