Autore Topic: intrusione su ssh2  (Letto 4067 volte)

Offline queengab1

  • Full Member
  • ***
  • Post: 56
    • Mostra profilo
    • E-mail
intrusione su ssh2
« il: 13 Dicembre 2008, 17:44:43 »
Ciao,

scusate sono a rulo continuo :)

lasciando alcune porte aperte mi sono detto: vammi a fare vedere i log per vedere se qualcuno tenta di fare qualcosa. Oltretutto avevo disabilitato selinux.... quindi!

apro il file secure e vedo una sfilza di tentate intrusioni come root o tentando di usare altri nome utente da un ip...faccio il tracert e riesco a risalire al dns 

Questo è l'ultimo log:
Dec 13 16:26:04 Host-001 sshd[17457]: pam_succeed_if(sshd:auth): error retrieving information about user sara
Dec 13 16:26:07 Host-001 sshd[17457]: Failed password for invalid user sara from 87.106.246.88 port 34080 ssh2

adesso come faccio a bloccare una serie di indirizzi ip quali regole usare?
devo mantere sempre selinux su enforced? però così mi blocca un asacco di applicazioni

è possible poi che il firewall del router non filtra una mazza?

Grazie
Gab

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: intrusione su ssh2
« Risposta #1 il: 15 Dicembre 2008, 13:58:20 »
Per prima cosa , possiamo rallentare la marcia del nostro aggressore installando fail2ban. Se il nostro amico effettua più di tot tentativi in tot secondi il sistema creare una policy iptables al volo per bloccarne l'ip

yum search fail2ban
Plugin caricati:kernel-module
============================== Matched: fail2ban ===============================
fail2ban.noarch : Ban IPs that make too many password failures

Seconda cosa dovresti chiudere l'accesso via ssh all'utente ROOT modificando le policy nel file sshd_config in modo da evitare l'accesso diretto del superuser.  Il router del firewall è un giocattolo da pochi euro che va configurato ed usato per quello che riesce a fare.
Terza cosa se vedi che lo stesso ip continua a darti fastidio segnalalo al servizio abuse del suo provider. Nel tuo caso sei fortunato perchè all'interno del whois dell ip è indicato  abuse@oneandone.net


 whois 87.106.246.88
[Interrogando whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '87.106.240.0 - 87.106.255.255'

inetnum:        87.106.240.0 - 87.106.255.255
netname:        SCHLUND-CUSTOMERS
descr:          1&1 Internet AG
country:        DE
org:            ORG-SA12-RIPE
admin-c:        IA843-RIPE
tech-c:         IA843-RIPE
status:         ASSIGNED PA
remarks:        For abuse issues, please use only abuse@oneandone.net
mnt-by:         AS8560-MNT
source:         RIPE # Filtered

organisation:   ORG-SA12-RIPE
org-name:       1&1 Internet AG
org-type:       LIR
address:        1&1 Internet AG
                Axel Fischer
                Brauerstr.48
                76135 Karlsruhe
                GERMANY
phone:          +49 721 91374 0
fax-no:         +49 721 91374 212
admin-c:        AFI5-RIPE
admin-c:        SPNC-RIPE
admin-c:        MINK-RIPE
admin-c:        IA843-RIPE
mnt-ref:        SCHLUND-MNT
mnt-ref:        RIPE-NCC-HM-MNT
mnt-by:         RIPE-NCC-HM-MNT
source:         RIPE # Filtered

role:           AS8560 IP Administration
address:        1&1 Internet AG
address:        Brauerstrasse 48
address:        D-76135 Karlsruhe
phone:          +49 721 91374 0
fax-no:         +49 721 91374 212
admin-c:        AFI5-RIPE
admin-c:        MINK-RIPE
admin-c:        JR2342-RIPE
tech-c:         AFI5-RIPE
tech-c:         MINK-RIPE
tech-c:         JR2342-RIPE
nic-hdl:        IA843-RIPE
abuse-mailbox:  abuse@oneandone.net
mnt-by:         SCHLUND-MNT
source:         RIPE # Filtered

% Information related to '87.106.0.0/16AS8560'

route:          87.106.0.0/16
descr:          SCHLUND-PA-5
origin:         AS8560
mnt-by:         SCHLUND-MNT
source:         RIPE # Filtered


CIao

Offline queengab1

  • Full Member
  • ***
  • Post: 56
    • Mostra profilo
    • E-mail
Re: intrusione su ssh2
« Risposta #2 il: 17 Dicembre 2008, 00:07:37 »
fail2ban installato!

Come cambio la policy al file sshd_config? Scusa cosa intendi quando dici accesso diretto al super user?

Se torna di nuovo alla carica contatto il provider...


Gracias
Gab

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: intrusione su ssh2
« Risposta #3 il: 17 Dicembre 2008, 12:17:58 »
Ciao, basta scommentare la seguente riga
PermitRootLogin no
nel file /etc/ssh/sshd_config e dare il comando service sshd reload.
A questo punto nessuno potrà loggarsi come root da remoto.


Ciao

Offline Angelbit

  • Newbie
  • *
  • Post: 7
    • Mostra profilo
    • E-mail
Re: intrusione su ssh2
« Risposta #4 il: 28 Dicembre 2008, 15:03:10 »
Citazione
Ciao, basta scommentare la seguente riga
PermitRootLogin no
nel file /etc/ssh/sshd_config e dare il comando service sshd reload.
A questo punto nessuno potrà loggarsi come root da remoto.
Prima pero creati un account utente normale