# [sicurezza]Tentativi ssh da 220.70.167.67? sembra famoso...

## Cazzantonio

Ho tutta una serie di tentativi da parte di questo ip sulla mia porta ssh

```
Dec  4 04:09:21 star_platinum sshd[836]: Illegal user test from 220.70.167.67

Dec  4 04:09:21 star_platinum sshd[836]: Failed password for illegal user test from 220.70.167.67 port 46147 ssh2

Dec  4 04:09:26 star_platinum sshd[839]: Failed password for illegal user guest from 220.70.167.67 port 46189 ssh2

Dec  4 04:09:31 star_platinum sshd[842]: Illegal user admin from 220.70.167.67

Dec  4 04:09:31 star_platinum sshd[842]: Failed password for illegal user admin from 220.70.167.67 port 46211 ssh2

Dec  4 04:09:36 star_platinum sshd[845]: Illegal user admin from 220.70.167.67

Dec  4 04:09:36 star_platinum sshd[845]: Failed password for illegal user admin from 220.70.167.67 port 46232 ssh2

Dec  4 04:09:45 star_platinum sshd[848]: Illegal user user from 220.70.167.67

Dec  4 04:09:45 star_platinum sshd[848]: Failed password for illegal user user from 220.70.167.67 port 46253 ssh2

Dec  4 04:09:50 star_platinum sshd[852]: Failed password for root from 220.70.167.67 port 46280 ssh2

Dec  4 04:09:53 star_platinum sshd[855]: Failed password for root from 220.70.167.67 port 46287 ssh2

Dec  4 04:09:57 star_platinum sshd[857]: Failed password for root from 220.70.167.67 port 46290 ssh2

Dec  4 04:10:00 star_platinum sshd[860]: Illegal user test from 220.70.167.67

Dec  4 04:10:01 star_platinum sshd[860]: Failed password for illegal user test from 220.70.167.67 port 46295 ssh2
```

Ok, qualcuno sta tentando di entrare nel mio pc tramite una dei login di prova (test, admin, root, etc...) ma se vado a cercare su google questo ip trovo una caterva di risultati per cui un sacco di gente ha gli stessi tentativi di connessione da parte di questo tizio  :Shocked: 

questi sono solo i primi tre risultati della ricerca:

http://www.madirish.net/rants.php?id=51

http://lists.sans.org/pipermail/intrusions/2004-October/008554.html

http://www.nukedgallery.net/modules.php?name=IPBan&file=countryinfo&cc=kr&start=40

Chi ca**o è questo tizio? per fare una cosa su così vasta scala deve essere un'organizzazione governativa o una cosa del genere... 

Premetto che non credo nelle cospirazioni planetarie... però mi è presa una certa caga  :Shocked: 

come si fa a capire a chi è registrato questo indirizzo ip?   :Question: 

aggiungerlo in /etc/hosts.deny può bastare?   :Rolling Eyes: 

----------

## lavish

Madonna!   :Shocked: 

Non e' possibile che sia una sorta di attacco automatizzato da un server da qualche parte?

----------

## fat_penguin

www.iana.org e www.ripe.net sono i "gestori degli ip" ... sui siti trovi degli strumenti (whois) per vedere a chi appartengono gli ip...

Puoi provare a chiedere al tuo provider di droppare le connessioni da questo ip... 

byebye

fat_penguin

----------

## paperp

Ciao cazza....effettivamente è un pò ingrbugliato io ho provato questo traceroute  , con nslookup o lookup ,niente , 

```

Traceroute has started ...

traceroute to 220.70.167.67  (220.70.167.67), 30 hops max, 40 byte packets

 1  192.168.1.1 (192.168.1.1)  79.86 ms  55.945 ms  53.643 ms

 2  192.168.100.1 (192.168.100.1)  53.793 ms  56.096 ms  54.013 ms

 3  r-pi31-vl2.opb.interbusiness.it (217.141.255.140)  55.382 ms  55.799 ms  53.839 ms

 4  r-rm199-pi31.opb.interbusiness.it (151.99.101.21)  59.118 ms  59.463 ms  60.588 ms

 5  r-mi208-rm199.opb.interbusiness.it (151.99.98.106)  71.969 ms  68.967 ms  68.866 ms

 6  r-mi223-vl4.opb.interbusiness.it (151.99.75.214)  68.318 ms  76.746 ms  69.18 ms

 7  mil14-ibs-resid-8-it.mil.seabone.net (195.22.208.193)  69.523 ms  67.886 ms  69.696 ms

 8  linx-lon1-racc1.lon.seabone.net (195.22.209.109)  107.535 ms  95.724 ms  92.852 ms

 9  kt-london.router.fe1 (195.66.224.147)  248.332 ms  251.648 ms  250.244 ms

10  211.48.63.233 (211.48.63.233)  381.681 ms  381.953 ms  384.608 ms

11  apnc10 (211.216.216.89)  383.18 ms  388.853 ms  383.134 ms

12  220.73.151.121 (220.73.151.121)  383.589 ms  391.955 ms  383.414 ms

13  220.73.149.98 (220.73.149.98)  387.362 ms  388.827 ms  386.691 ms

14  * * *

15  168.126.40.226 (168.126.40.226)  405.37 ms  384.397 ms  383.317 ms

16  61.78.9.186 (61.78.9.186)  392.193 ms  390.583 ms  392.684 ms

17  *
```

..si ha ragione è Iana

```
Whois has started ...

% This is the RIPE Whois tertiary server.

% The objects are in RPSL format.

%

% Rights restricted by copyright.

% See http://www.ripe.net/db/copyright.html

inetnum:      0.0.0.0 - 255.255.255.255

netname:      IANA-BLK

descr:        The whole IPv4 address space

country:      EU # Country is really world wide

org:          ORG-IANA1-RIPE

admin-c:      IANA1-RIPE

tech-c:       IANA1-RIPE

status:       ALLOCATED UNSPECIFIED

remarks:      The country is really worldwide.

remarks:      This address space is assigned at various other places in

remarks:      the world and might therefore not be in the RIPE database.

mnt-by:       RIPE-NCC-HM-MNT

mnt-lower:    RIPE-NCC-HM-MNT

mnt-routes:   RIPE-NCC-RPSL-MNT

changed:      bitbucket@ripe.net 20010529

changed:      bitbucket@ripe.net 20020625

changed:      hostmaster@ripe.net 20031014

changed:      bitbucket@ripe.net 20040422

changed:      bitbucket@ripe.net 20040504

source:       RIPE

organisation: ORG-IANA1-RIPE

org-name:     Internet Assigned Numbers Authority

org-type:     IANA

address:      see http://www.iana.org

remarks:      The IANA allocates IP addresses and AS number blocks to RIRs

remarks:      see http://www.iana.org/ipaddress/ip-addresses.htm

remarks:      and http://www.iana.org/assignments/as-numbers

e-mail:       bitbucket@ripe.net

admin-c:      IANA1-RIPE

tech-c:       IANA1-RIPE

mnt-ref:      RIPE-NCC-HM-MNT

mnt-by:       RIPE-NCC-HM-MNT

changed:      bitbucket@ripe.net 20040417

source:       RIPE

role:         Internet Assigned Numbers Authority

address:      see http://www.iana.org.

e-mail:       bitbucket@ripe.net

admin-c:      IANA1-RIPE

tech-c:       IANA1-RIPE

nic-hdl:      IANA1-RIPE

remarks:      For more information on IANA services

remarks:      go to IANA web site at http://www.iana.org.

mnt-by:       RIPE-NCC-MNT

changed:      bitbucket@ripe.net 20010411

source:       RIPE

```

----------

## silian87

Si, e' imbrugliato.... con xtraceroute ho visto che me lo prende in inghilterra a Latitudine "51.500000" e longitudine "-0.170000" .

Questo e' l'ultimo ip che mi prende prima di una serie di not-response "61.78.9.186"

----------

## nightblade

E' un ip di Kornet, un provider coreano.

Puoi mandare una mail a abuse@kornet.net o a hyejin@kt.co.kr spiegandogli che ricevi attacchi da parte di un loro IP.

 *Quote:*   

> 
> 
> IPv4 Address       : 220.70.167.64-220.70.167.127
> 
> Network Name       : KORNET-HOTLINE2003299263
> ...

 

----------

## Cazzantonio

https://forums.gentoo.org/viewtopic.php?t=210585&postdays=0&postorder=asc&highlight=hostname&start=0

anche in questo topic c'è gente che riceve connesioni sshd su login come "test, admin, root..."

inizio seriamente a preoccuparmi...

nessuno di voi, spulciando nei log, ha mai trovato niente di questo tipo?

Secondo voi cosa sarebbe meglio fare in questi casi?

Premetto che finora le mie impostazioni di sicurezza erano solo le password...   :Embarassed: 

----------

## silian87

Io ho la porta ssh chiusa dal router... quindi penso che dovrei stare tranquillo...  :Laughing: 

----------

## Cazzantonio

 *nightblade wrote:*   

> E' un ip di Kornet, un provider coreano.

 

come l'hai trovato?

----------

## molesto

sarà qualche lamer che fa lo scan di indirizzi ip per vedere se incappa

in qualcosa di interessante... 

forse ha visto troppe volte war games...

non mi preoccuperei più di tanto.

----------

## nightblade

 *Cazzantonio wrote:*   

> 
> 
> inizio seriamente a preoccuparmi...
> 
> 

 

Innanzitutto, niente panico.

Secondo me e' un bot automatico di uno script kiddie coreano che scorre migliaia di indirizzi IP cercando server ssh con password deboli. Se le tue password rispettano adeguati criteri di complessita', non hai di che preoccuparti.

Se poi vuoi essere ancora piu' sicuro, puoi far girare ssh su una porta non standard (un accorgimento che ti rendera' invisibile a questi bot che cercano solo la porta 22 aperta), oppure usare certificati invece di password.

----------

## nightblade

 *Cazzantonio wrote:*   

>  *nightblade wrote:*   E' un ip di Kornet, un provider coreano. 
> 
> come l'hai trovato?

 

```

whois 220.70.167.67
```

----------

## randomaze

 *Cazzantonio wrote:*   

>  *nightblade wrote:*   E' un ip di Kornet, un provider coreano. 
> 
> come l'hai trovato?

 

Non so lui, comunque si trova Iniziando qui e finendo qui.

Comunque nulla di preoccpante, solo un ragazzino andrebbe avanti cercando di entrare con quelle utenze in tutto il mondo sempre dallo stesso IP...

(...certo potrebbe essere qualcuno troppo furbo che si fa passare per un kiddie...)

----------

## Cazzantonio

ok, grazie per le info sui siti che non conoscevo (utilizzo il pc per tutt'altri scopi che la sicurezza... e questo è il mio pc di casa, per cui pace se entrano   :Wink:  )

Comunque è la prima volta che noto tentativi del genere... per bannare un indirizzo ip basta metterlo in /etc/host.deny vero? oppure devo ricorrere ad iptables (che non so usare, anche se prima o poi, quando avrò tempo, voglio impararlo)

----------

## nightblade

 *Cazzantonio wrote:*   

>  per bannare un indirizzo ip basta metterlo in /etc/host.deny vero? oppure devo ricorrere ad iptables

 

hosts.deny ti permette di vietare l'accesso di uno o piu' indirizzi IP ad un tuo daemon in ascolto, e questo potrebbe risolvere il tuo problema.

Pero' iptables e' un vero e proprio firewall, che quindi ti permette un controllo completo, centralizzato e puntuale di ogni tipo di pacchetto che entra o esce dal tuo pc, per cui prima cominci a smanettarci e meglio e'  :Smile: 

----------

## Cazzantonio

@nightblade

Ho un router adsl che funziona anche da firewall

DI solito tutte le porte in entrata sono chiuse (tranne qualcuna per mldonkey, che però gira sotto chroot   :Wink:  ) ma recentemente ho avuto bisogno di usare ssh quindi avevo aperto le porte del router...

finora non mi sono messo mai a smanettare con iptables perchè avento un firewall nel router mi sentivo a posto...

----------

## nightblade

 *Cazzantonio wrote:*   

> @nightblade
> 
> Ho un router adsl che funziona anche da firewall
> 
> DI solito tutte le porte in entrata sono chiuse (tranne qualcuna per mldonkey, che però gira sotto chroot   ) ma recentemente ho avuto bisogno di usare ssh quindi avevo aperto le porte del router...
> ...

 

Se hai gia' un firewall in mezzo che ti fa passare solo ssh, il sistema aggiornato, e password solide allora non c'e' molto di che preoccuparsi...

----------

## koma

http://www.nukedgallery.net/modules.php?name=IPBan&file=countryinfo&cc=kr&start=40 qui dice che è stato bandito dalla korea quell'ip.. ora dico.. allora non è nemmeno koreano

----------

## Cazzantonio

è il grande fratello che ci spia...   :Wink: 

Ho sentito dire che la cina sta effettuando operazioni su larga scala su internet... chi sà   :Rolling Eyes: 

----------

## nightblade

 *koma wrote:*   

> http://www.nukedgallery.net/modules.php?name=IPBan&file=countryinfo&cc=kr&start=40 qui dice che è stato bandito dalla korea quell'ip.. ora dico.. allora non è nemmeno koreano

 

aspetta... li' dice quali IP della Corea sono stati banditi dal quel portale, quindi i conti tornano

----------

## koma

ah pensavo ufficialmente in korea... non mastico bene l'inglese. in ogni caso boh sto tipo deve essere un mago delle reti o un lamero senza speranza

----------

## nightblade

 *koma wrote:*   

>  sto tipo deve essere un mago delle reti o un lamero senza speranza

 

Io propenderei per la seconda  :Wink: 

----------

## acidcrash

Ragazzi niente panico, è un normalissimo brute force dictionary attack su ssh, nulla di nuovo; basta rispettare una buona politica di scelta delle password e si può stare tranquilli. Sui sistemi che gestisco, ne vedo a centinaia di tentativi di questo tipo, ogni giorno. Basta utilizzare password di almeno 8 caratteri, alfanumeriche e non del tipo data di nascita, nome del gatto, compleanno della nonna.   :Very Happy: 

Probabilmente questo tipo di attacco è generato da codici simili a questo:

http://www.k-otik.com/exploits/08202004.brutessh2.c.php

Un saluto

AcidCrash

----------

## nightblade

 *acidcrash wrote:*   

> compleanno della nonna.

 

azz... allora devo cambiare tutte le mie password...

----------

## mambro

 *acidcrash wrote:*   

> 
> 
> http://www.k-otik.com/exploits/08202004.brutessh2.c.php
> 
> 

 

Chi ha scritto sta cosa?   :Shocked:   il dizionario potevano almeno metterlo su un altro file.. a sto punto aboliamo i loop e scriviamo sogenti di milioni di righe   :Laughing: 

----------

## nightblade

 *mambro wrote:*   

> 
> 
> Chi ha scritto sta cosa?    il dizionario potevano almeno metterlo su un altro file.. a sto punto aboliamo i loop e scriviamo sogenti di milioni di righe  

 

Ebbravo... e poi tutti gli script kiddie come facevano a capire che c'era da scaricare ben due file ??

E magari vorresti pure che imparassero ad usare dizionari diversi a seconda della nazione in cui si trova il server...  :Wink: 

----------

## PXL

da quell'IP solo il 12 novembre e il 7 novembre... 

```
Nov  7 08:31:30 firewall sshd[14080]: Illegal user test from ::ffff:220.70.167.67

Nov  7 08:31:30 firewall sshd[14080]: Failed password for illegal user test from ::ffff:220.70.167.67 port 56172 ssh2

```

ma giornalmente noto messaggi di questo genere... infatti logcheck mi manda giornalmente un mail che mi annuncia la disconnessione-connessione all'adsl e spesso appunto questi attacchi ssh...

----------

## stefanonafets

lo avrà scritto un lamer1 che nn sa niente di programmazione...

----------

## tobiwan_

sarà anche una lamerone (anche se il teorico della cospirazione che è in me direbbe che lo avrebbero già inchiappettato se fosse un semplice lamerone), però questo mi ricorda che in giro non ci sono solo lameroni...

Blindo tutto  :Cool:   :Very Happy:   :Laughing: 

----------

## akiross

e' possibile che sia un tool automatico che mediante proxy fa tutti i tentativi, visto che sta provando con username diversi suppongo che stia provando tutte le password vuote per accedere, e se riesce ad accedere tentera' qualche exploit.

La soluzione proxy mi sembra accettabile in quanto mi sembra di aver capito che l'ip e' koreano (?) non ho letto molto il post

In ogni caso non e' per forza un lamer... se e' automatizzato non e' detto che sia un pirletta qualsiasi che prova a rubare l'accesso ad un server, probabilmente e' qualche scanner che cerca un server insicuro per postarci warez.

Inoltre noto l'attivita' sfrenata del mio router da ieri, ora controllo i log dei server e vi dico  :Smile: 

Ciauz!

----------

## akiross

Bahhauwuwawahwa

Niente, la mia attivita' sospetta e' semplicemente mldonkey che avevo dimenticato di aver messo come demone  :Very Happy: 

Log puliti!

Ciauz

----------

## akiross

Ah pero' noto dall'IPPL che un sacco di host stanno attaccandomi sulla 14800

```
Dec  5 21:53:17 port 14800 UDP datagram from 63.175.38.203 (63.175.38.203:11738->192.168.1.2:14800)

Dec  5 21:53:17 port 14800 UDP datagram from 80.108.15.100 (80.108.15.100:8121->192.168.1.2:14800)

Dec  5 21:53:17 port 14800 UDP datagram from 62.14.163.99 (62.14.163.99:3077->192.168.1.2:14800)

Dec  5 21:53:17 port 14800 UDP datagram from 24.167.172.13 (24.167.172.13:11313->192.168.1.2:14800)

Dec  5 21:53:17 port 14800 UDP datagram from 172.206.131.37 (172.206.131.37:10489->192.168.1.2:14800)

Dec  5 21:53:17 port 14800 UDP datagram from 68.190.193.4 (68.190.193.4:4534->192.168.1.2:14800)

Dec  5 21:53:17 port 14800 UDP datagram from 82.168.80.161 (82.168.80.161:5733->192.168.1.2:14800)

Dec  5 21:53:17 port 14800 UDP datagram from 81.51.128.226 (81.51.128.226:13695->192.168.1.2:14800)

Dec  5 21:53:18 port 14800 UDP datagram from 217.86.167.98 (217.86.167.98:5693->192.168.1.2:14800)

Dec  5 21:53:18 port 14800 UDP datagram from 217.125.225.250 (217.125.225.250:3180->192.168.1.2:14800)

Dec  5 21:53:18 port 14800 UDP datagram from 201.135.163.3 (201.135.163.3:3856->192.168.1.2:14800)

Dec  5 21:53:18 port 14800 UDP datagram from 68.63.117.156 (68.63.117.156:10555->192.168.1.2:14800)

Dec  5 21:53:18 port 14800 UDP datagram from 204.210.133.78 (204.210.133.78:8809->192.168.1.2:14800)

Dec  5 21:53:18 port 14800 UDP datagram from 212.17.82.130 (212.17.82.130:4242->192.168.1.2:14800)

Dec  5 21:53:18 port 14800 UDP datagram from 210.61.176.132 (210.61.176.132:11902->192.168.1.2:14800)

Dec  5 21:53:18 port 14800 UDP datagram from 213.199.200.102 (213.199.200.102:4167->192.168.1.2:14800)

Dec  5 21:53:18 port 14800 UDP datagram from 217.236.114.52 (217.236.114.52:11972->192.168.1.2:14800)

```

Non e' normale... sara' un virus di utenti windoze? Magari il nuovo sasser che circola?

Il log e' davvero lunghissimo! Non so quanti attacchi solo oggi  :Neutral: 

Aspe che conto (egrep ippl_log 'Dec {1,3}5' | wc -l)... sono 226780 attacchi solo oggi! Direi che e' assurdo  :Neutral:  Facciamo un virus che installa linux su ogni computer, cosi' da avere reti quantomeno piu' sicure

mentre dall'host in soggetto ho ricevuto queste,  ma 3 giorni fa:

```
Dec  2 19:38:53 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:54540->192.168.1.2:22)

Dec  2 19:39:44 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:56799->192.168.1.2:22)

Dec  2 19:39:49 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:56958->192.168.1.2:22)

Dec  2 19:40:09 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:57025->192.168.1.2:22)

Dec  2 19:40:14 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:57091->192.168.1.2:22)

Dec  2 19:41:35 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:57180->192.168.1.2:22)

Dec  2 19:41:49 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:57232->192.168.1.2:22)

Dec  2 19:42:04 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:57287->192.168.1.2:22)

Dec  2 19:42:09 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:57344->192.168.1.2:22)

Dec  2 19:42:14 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:57386->192.168.1.2:22)

```

A dire il vero non mi preoccupano molto... ritengo linux abbastanza sicuro  :Very Happy:  In ogni caso meglio fare un po' di attenzione.

----------

## tobiwan_

porta 14800?

non ricordo che ci giri niente...  :Neutral: 

sento prorio puzza di windoze worm  :Very Happy: 

----------

## akiross

14800 e' davvero alta, fuori dalle well-known, anche secondo me puzza di worm... a voi che dicono i log? se queste cose succedono a tutti e' proprio un worm

Oppure, mi collego con win lasciando il router acceso e vedo se al prossimo riavvio c'e' su il well-known sasser  :Very Happy: 

----------

## tobiwan_

 *akiross wrote:*   

> 14800 e' davvero alta, fuori dalle well-known, anche secondo me puzza di worm... a voi che dicono i log? se queste cose succedono a tutti e' proprio un worm

 

ho cercato con San Google, non sembra esserci niente in ascolto lì...

 *Quote:*   

> 
> 
> Oppure, mi collego con win lasciando il router acceso e vedo se al prossimo riavvio c'e' su il well-known sasser 

 

Volevo scriverlo io, ma avevo paura di essere preso sul serio da qualcuno  :Very Happy: 

----------

## mambro

A me continuano a contattarmi sulla 135 e sulla 445 e anche una 62299 vedo ora..

----------

## akiross

 *tobiwan_ wrote:*   

>  *akiross wrote:*   14800 e' davvero alta, fuori dalle well-known, anche secondo me puzza di worm... a voi che dicono i log? se queste cose succedono a tutti e' proprio un worm 
> 
> ho cercato con San Google, non sembra esserci niente in ascolto lì...
> 
> 

 

Difatti, insinuavo che forse c'e' un worm che apre quella porta... sai, magari sfruttando un bug entri con un servizio attivo, pero' una volta che sei dentro usi un'altra porta, o no? non so molto di queste cose, che dite?

Porta 135 non e' quella di netbios su win? 445 non so

Ciauz

----------

## mambro

445 è netbios e 135 è RPC  ho samba attivo... ma perchè cercando di accedere da fuori?   :Confused: 

----------

## akiross

Probabilmente e' qualche worm che tenta di diffondersi, ma non so...

Bisogna seguire le news e vedere se si rileva qualcosa

----------

## stefanonafets

 *Quote:*   

> Porta 135 non e' quella di netbios su win? 445 non so 

 

su GRC (+ precisamente shieldup!) c'è la descrizione delle prime 1055 porte (tra l'altr ti testa se sono aperte, chiuse o ghost, comodo).

----------

## nomadsoul

e se sul quell'ip ci fosse un proxy bacato? per cui x user diversi se lo impostano sui loro programmilli cazzosi e iniziano a scananre a + non posso?

----------

## morlan

 *Quote:*   

> Ho tutta una serie di tentativi da parte di questo ip sulla mia porta ssh

 

Confermo alcuni tentativi da questo ip il 29 Ott e il 3 Dic... poca roba comunque...

Sono molto piu' insistenti gli attacchi dagli indirizzi 61.100.186.71 e 168.115.112.235. Il whois li indica tutti nella regione coreana.

Che dite... hanno indetto un ritrovo internazionale di lamer e non mi hanno invitato?  :Shocked:   :Crying or Very sad:   :Crying or Very sad: 

----------

## akiross

 *nomadsoul wrote:*   

> e se sul quell'ip ci fosse un proxy bacato? per cui x user diversi se lo impostano sui loro programmilli cazzosi e iniziano a scananre a + non posso?

 

Puo' essere, ma in ogni caso esistono proxy liberi sempre e comunque, non per forza sono bacati  :Wink: 

----------

## Cazzantonio

per evitare del tutto questi attacchi idioti comunque basta spostare le porte dei propri server da quelle di default ad altre non standard... io non ho più tentativi di connessione da quando l'ho fatto   :Wink: 

E ora tutte le porte sotto la 1056 sono spente... per trovare una porta aperta devi salite parecchio con i numeri...

----------

## akiross

 *Cazzantonio wrote:*   

> per evitare del tutto questi attacchi idioti comunque basta spostare le porte dei propri server da quelle di default ad altre non standard... io non ho più tentativi di connessione da quando l'ho fatto  
> 
> E ora tutte le porte sotto la 1056 sono spente... per trovare una porta aperta devi salite parecchio con i numeri...

 

Furbo il ragazzo  :Very Happy: 

----------

## gutter

 *akiross wrote:*   

> 
> 
> [CUT]
> 
> Furbo il ragazzo 

 

Questa è in genere la cosa che si fa  :Wink: 

----------

## Cazzantonio

 *gutter wrote:*   

> Questa è in genere la cosa che si fa 

 

Si, ma fino ad oggi la consideravo un'esagerazione   :Rolling Eyes: 

Ora comunque dovrei essere abbastanza al sicuro sul fronte internet. con tanto di firewall sul router e su ognuno dei miei pc (configurazioni di base di iptables). Penso sia più probabile che mi entrino dalla rete wireless   :Very Happy:  Finchè non riesco a far riconoscere al mio router il mio hostname però sono bloccato su quel fronte...   :Rolling Eyes: 

----------

## gutter

@Cazzantonio: si penso che non dovresti avere problemi.

----------

## FonderiaDigitale

 *nightblade wrote:*   

>  *Cazzantonio wrote:*    per bannare un indirizzo ip basta metterlo in /etc/host.deny vero? oppure devo ricorrere ad iptables 
> 
> hosts.deny ti permette di vietare l'accesso di uno o piu' indirizzi IP ad un tuo daemon in ascolto, e questo potrebbe risolvere il tuo problema.
> 
> Pero' iptables e' un vero e proprio firewall, che quindi ti permette un controllo completo, centralizzato e puntuale di ogni tipo di pacchetto che entra o esce dal tuo pc, per cui prima cominci a smanettarci e meglio e' 

 

l'altra soluzione che io preferisco e' usare SSH solo quando e dove effettivamente serve, ossia aprire la porta on-demand tramite autenticazione.

se ricordi bene ne parlai al seminario dei gechi a prato, sezione doorman.

per quanto riguarda il tizio coreano, io sono dell'opinione che se il suo ISP gli permette certi mass scan, di certo manco ha un reparto anti-abuse, e quindi la soluzione ideale e' sempre e comunque un 

```
iptables -I INPUT 1 -s IP_SUO -j DROP
```

----------

## FonderiaDigitale

 *akiross wrote:*   

>  *Cazzantonio wrote:*   per evitare del tutto questi attacchi idioti comunque basta spostare le porte dei propri server da quelle di default ad altre non standard... io non ho più tentativi di connessione da quando l'ho fatto  
> 
> E ora tutte le porte sotto la 1056 sono spente... per trovare una porta aperta devi salite parecchio con i numeri... 
> 
> Furbo il ragazzo 

 

tutto dipende se TU sei l'unico utente.

se sposti la 80 e vuoi fare da webserver non la vedo bella come soluzione   :Rolling Eyes: 

----------

## gutter

 *FonderiaDigitale wrote:*   

> 
> 
> [CUT]
> 
> tutto dipende se TU sei l'unico utente.
> ...

 

Questo mi pare chiaro  :Smile: . Ma nel caso in questione per evitare gli scan la soluzione migliore consiste nello spostare la porta di ssh (almeno IMHO)   :Very Happy: 

----------

## Cazzantonio

 *FonderiaDigitale wrote:*   

> l'altra soluzione che io preferisco e' usare SSH solo quando e dove effettivamente serve, ossia aprire la porta on-demand tramite autenticazione.
> 
> se ricordi bene ne parlai al seminario dei gechi a prato, sezione doorman.

 

Hai ragione, infatti mi sono riproposto di leggere a fondo le tue slide appena avrò un po' di tempo... tieni conto che in materia di sicurezza sono un novellino ancora (essendo sempre stato l'amministratore solo del mio pc a casa... in facoltà sono un semplice utente   :Wink:  )

p.s.

ovviamente sono io l'unico utente che dovrebbe essere interessato a connettermi sul mio pc... se proprio devo dare l'accesso a qualcuno preferisco dirgli la porta a voce....

----------

## Flonaldo

Cmq nn ti preoccupare, butta giu la porta ssh, usala solo quando e' necessario e metti su un bel iptable...

----------

## Cazzantonio

non sono preoccupato... se vogliono entrare provando le password ben vengano... entro il 2012 forse ne trovano qualcuna...

Solo penso sia la prima volta che cercano di entrarmi nel pc di casa   :Wink:  per quensto mi sono stupito, non preoccupato   :Smile: 

----------

## gutter

 *Cazzantonio wrote:*   

> 
> 
> [CUT]
> 
> Solo penso sia la prima volta che cercano di entrarmi nel pc di casa   per quensto mi sono stupito, non preoccupato  

 

Un giorno di questo ti mando i miei log  :Smile:  e ti fai quattro risate   :Very Happy: 

----------

## Cazzantonio

Ricevi tanti tentativi?   :Shocked:  beh, allora finora sono stato fortunello   :Very Happy: 

----------

## Tùrin_Mormegil

bello essere dietro il nat di fastweb  :Razz: 

----------

## lavish

 *Tùrin_Mormegil wrote:*   

> bello essere dietro il nat di fastweb

 

 :Shocked:   bellissimo dev'essere.....   :Confused:   :Confused: 

----------

## Tùrin_Mormegil

di certo ha degli svantaggi e anche grossi, ma finchè non ti interessa fare un webserver et similia visibile a quelli che non hanno FW i problemi non sono molti mentre invece per il lato sicurezza, a meno di forward vari di porte, sei praticamente al sicuro (considerato che il 99% degli utonti FW sono dei veri e propri utonti)

----------

## xchris

come e' stato gia' detto le misure da adottare sono:

-cambio porta standard (da 22 a 54352 ad es)

-disabilitare il root login

-usi iptables e inizi a bloccare quel address (1 riga e' gia' suff per iniziare)

-usi knockd http://www.zeroflux.org/knock/ (come aveva suggerito FonderiaDigitale) (EDIT: Fonderia diceva doormand che e' meglio)

- stacchi il cavo di rete  :Laughing: 

ciao  :Smile: 

----------

## stefanonafets

Già, ma 10 Mbps per leggere il giornale su internet mi sembrano un pochino esagerati...  :Very Happy: 

Considerando che NON scarico da P2P, mi procurerei una sì grossa banda solo se avrei intenzione di mettermi un serveruzzo in casa (intenzione che ho, inquanto un hosting che supporta le Java Servlet costa, ma qui nn arriva niente sopra i 640Kbps...)

Per quanto riguarda il tema sicurezza, quel che ho in mente adesso è di usare una macchina nn molto potente (600Mhz,mobo EPIA) come router/firewall, ma nn conosco per niente iptables, e ne so veramente poco circa le problematiche di sicurezza. Starei cercando dei testi (possibilmente doc. via internet) facili, sapreste consigliarmi?

(Una volta Shev mi disse "man iptables", ma nn è proprio intuitivo come testo...)

Per quanto riguarda la NAT di fastweb, cmq nn sei al sicuro da dentro per dentro, e samnettoni esistono ovunque...

----------

## Cazzantonio

 *Tùrin_Mormegil wrote:*   

> bello essere dietro il nat di fastweb 

 

preferisco essere dietro il nat del mio router/firewall   :Wink: 

comunque spesso basta usare password non esageratamente comuni (per la password di root uso minimo dieci caratteri, maiuscole, numeri e caratteri speciali)

----------

## Tùrin_Mormegil

per gli utenti alle prime armi con iptables io consiglio kmyfirewall... io ho imparato ad usare iptables guardando gli scripts che generavo con kmyfirewall O_o è anche in portage  :Wink: 

(p.s. io iptables lo uso anche se sono dietro il nat di FW  :Razz: )

----------

## nightblade

 *Tùrin_Mormegil wrote:*   

> 
> 
> (p.s. io iptables lo uso anche se sono dietro il nat di FW )

 

in gergo lo chiamano "difesa in profondita'"... ottima pratica  :Smile: 

----------

## shev

 *stefanonafets wrote:*   

> nn conosco per niente iptables, e ne so veramente poco circa le problematiche di sicurezza. Starei cercando dei testi (possibilmente doc. via internet) facili, sapreste consigliarmi?
> 
> (Una volta Shev mi disse "man iptables", ma nn è proprio intuitivo come testo...)

 

Prova allora con questo,  o uno di questi, di roba interessante se ne trova parecchia. Sia di base che avanzata. Altrimenti esistono buoni testi cartacei, basta fare un salto in biblioteca e ne trovi quanti ne vuoi. Se ti serve qualche titolo chiedi pure.

----------

## xchris

bhe...

sotto fastweb e soprattutto sotto fastweb se si usa M$ il firewall e' indispensabile!

Tempo fa la rete era in ginocchio per il rapido propagarsi di worm!!

Chiaro che col il pinguino e' un altro discorso!

Chi installava Win2000 fresh,attaccava il cavo di rete e..... bham...infetto!  :Laughing: 

ciao

----------

## lavish

```

Mar 12 16:12:52 [sshd] Invalid user test from ::ffff:82.76.33.252

Mar 12 16:12:56 [sshd] User guest not allowed because shell /dev/null is not executable

Mar 12 16:13:02 [sshd] Invalid user admin from ::ffff:82.76.33.252

Mar 12 16:13:04 [sshd] reverse mapping checking getaddrinfo for 82-76-33-252.rdsnet.ro failed - POSSIBLE BREAKIN ATTEMPT!

Mar 12 16:13:06 [sshd] Invalid user admin from ::ffff:82.76.33.252

Mar 12 16:13:09 [sshd] reverse mapping checking getaddrinfo for 82-76-33-252.rdsnet.ro failed - POSSIBLE BREAKIN ATTEMPT!

Mar 12 16:13:10 [sshd] Invalid user user from ::ffff:82.76.33.252

Mar 12 16:13:14 [sshd] reverse mapping checking getaddrinfo for 82-76-33-252.rdsnet.ro failed - POSSIBLE BREAKIN ATTEMPT!

                - Last output repeated 4 times -

Mar 12 16:16:42 [sshd] Received signal 15; terminating.

```

(sono stato io a chiuderlo)

QUESTO NON È UN WORM  :Shocked: 

Sapete dirmi cosa stava cercando di fare la simpatica persona ?

----------

## gutter

 *lavish wrote:*   

> 
> 
> Sapete dirmi cosa stava cercando di fare la simpatica persona ?

 

Era una persona affettuosa che voleva farti una visitina  :Very Happy: 

----------

## lavish

 *gutter wrote:*   

> Era una persona affettuosa che voleva farti una visitina 

 

E io che gli ho chiuso la porta in faccia... che villanzone!  :Very Happy: 

Scherzi a parte, vorrei capire cosa stava facendo a livello pratico... perchè non ho mai visto logs del genere!

Gli ho fatto un portascan e un whois comunque... penso di denunciare l'ip a abuse@rdsnet.ro (il whois mi ha detto di di scrivere lì  :Wink:  )

----------

## gutter

Credo che stesse provando una serie di user per vedere se riusciva a trovare delle password. Credo che si tratti di un tool automatizzato.

----------

## lavish

Per la precisione vorrei capire cos'ha fatto il nostro piccolo lamer qui:

```
Mar 12 16:12:56 [sshd] User guest not allowed because shell /dev/null is not executable 
```

e qui:

```
Mar 12 16:13:04 [sshd] reverse mapping checking getaddrinfo for 82-76-33-252.rdsnet.ro failed - POSSIBLE BREAKIN ATTEMPT!
```

questi 2 logs non mi sono chiari per nulla  :Shocked: 

Inoltre perchè il suo ip mi è comparso in quella forma 

```
::ffff:82.76.33.252 
```

 :Question: 

----------

## alemare

Ciao! credo che quello sia un'indirizzo ipV6... in pratica tra " :: " è un modo per non scrivere tutti "0" e l'ultima parte assomiglia ad un indirizzo ipV4 perchè quel tipo di indirizzi cioè tutti 0 davanti poi 2 byte 1 "FFFF" seguiti da quello che sembra un indirizzo ipV4 questa tipologia è riservata per il passaggio da ipV4 a ipV6 per quei server che possono gestire solo ipV4. Poi non so ho letto solo 3-4 pagine... ci sono solo quelle in quel libro...

Ciao Ale

----------

## mao83

Confermo, è così che si scrivono ip di ipv4 in versione ipv6; praticamente il suo ip dovrebbe essere 82.76.33.252. Ciaociao

mao

----------

## pistodj

Anch'io ricevo attacchi simili!! spulciando i log di ssh lo noto spesse volte... la cosa che mi chiedo invece e' come fare per capire se e' riuschito chissa' per che arcano motivo a beccare la mia password...

sapete per caso se esistono dizionari o cose simili per testare se la tua passwd e inserita in essi??

----------

## lavish

 *mao83 wrote:*   

> Confermo, è così che si scrivono ip di ipv4 in versione ipv6; praticamente il suo ip dovrebbe essere 82.76.33.252. Ciaociao
> 
> mao

 

Che scemi... ma non farebbero prima ad attaccarmi con un ipv6 visto che accette connesisoni da indirizzi simili (e anche io mi connetto con il v6 a server che me lo consentono)?  :Laughing:  :Laughing:  :Laughing: 

Devo ancora chiarire però le due righe di log riportate prima... se sapete qualcosa illuminatemi  :Very Happy: 

Grazie  :Wink: 

----------

## Atomikramp

premetto che non ho letto l'intero thread, però è possibile che se molti risultati in google riportano quel sistema come sorgente di attacco, è probabile che qualcuno stia usando quel sistema come una stepping-stone ( o testa di ponte ) per effettuare exploit di massa o robe di questo genere....

io fossi in te manderei una mail al detentore della sottoscrizione dell'IP per informarlo dell'accaduto..... mal che vada poi ci penserà lui a far partire delle indagini....

----------

## GianX

Avete provato questo 

per togliervi di mezzo tutti questi attacchi ?

http://www.howtoforge.com/preventing_ssh_dictionary_attacks_with_denyhosts

in portage 

http://www.gentoo-portage.com/app-admin/denyhosts

----------

## X-Drum

 *GianX wrote:*   

> Avete provato questo 
> 
> per togliervi di mezzo tutti questi attacchi ?
> 
> http://www.howtoforge.com/preventing_ssh_dictionary_attacks_with_denyhosts
> ...

 

https://forums.gentoo.org/viewtopic-t-330491-postdays-0-postorder-asc-highlight-denyhosts-start-50.html#2783120

----------

## MeMyselfAndI

 *pistodj wrote:*   

> Anch'io ricevo attacchi simili!! spulciando i log di ssh lo noto spesse volte... la cosa che mi chiedo invece e' come fare per capire se e' riuschito chissa' per che arcano motivo a beccare la mia password...
> 
> sapete per caso se esistono dizionari o cose simili per testare se la tua passwd e inserita in essi??

 

john(ojack non ricordo) the ripper,, e' pure in portage.

----------

## Peach

 *GianX wrote:*   

> Avete provato questo 
> 
> per togliervi di mezzo tutti questi attacchi ?
> 
> http://www.howtoforge.com/preventing_ssh_dictionary_attacks_with_denyhosts
> ...

 

c'è pure una guida abbastanza idiota sul wiki: http://gentoo-wiki.com/HOWTO_Protect_SSHD_with_DenyHosts

----------

## X-Drum

vabbhe c'è poco da vedere su denyhosts, va su in un attimo è c'è pochissimo da configurare

e devo dire che funziona egregiamente, in media la macchina su cui l'ho messo banna

5-6 indirizzi di "attaccanti" al giorno (con relativa notifica per email a me per verifica

, non si sa mai cosa possono combinare gli utenti)

sarebbe interessante vedere openssh implementare un comportamento simile

come feature (magari con controlli esegui in real-time anziche' con parsing di log

ogni n minuti)

----------

