[Risolto] ssh e auth.log POSSIBLE BREAK-IN ATTEMPT!

Problemi e discussioni inerenti al networking, ai server, backup dati e alla sicurezza in generale
Rispondi
morbin
Arciere Provetto
Messaggi: 546
Iscritto il: 20 gennaio 2010, 1:18
Località: Spagna

Messaggio da morbin » 7 luglio 2010, 3:31

Scusate il titolo!
Alcune settimane fa ho installato ssh, che ho configurato come da wiki, senza particolari personalizzazioni. Non l'ho mai adoperato, neanche per vedere se funziona.
Oggi, spulciando i file di log alla ricerca di altre cose, ho visto i file "auth.log", che sono 5, e quasi mi prende un colpo.
Prima di farmi venire il colpo però, chiedo a voi, visto che di ssh ne so molto poco e non so bene come comportarmi, anche se al momento mi verrebbe voglia di disinstallarlo.
Posto solo un po' di righe significative. Semmai fosse necessario posterò i log interi nella maniera appropriata, perchè sono 5 e sono immensi.

Codice: Seleziona tutto

Jun 27 15:35:16 archlinux sshd[3878]: Failed password for root from 41.196.71.135 port 2634 ssh2
Jun 27 15:35:17 archlinux sshd[3876]: Failed password for root from 41.234.76.163 port 4118 ssh2
Jun 27 15:35:18 archlinux sshd[3878]: Failed password for root from 41.196.71.135 port 2634 ssh2
Jun 27 15:35:20 archlinux sshd[3876]: Failed password for root from 41.234.76.163 port 4118 ssh2
Jun 27 15:35:20 archlinux sshd[3878]: Failed password for root from 41.196.71.135 port 2634 ssh2
Jun 27 15:35:22 archlinux sshd[3876]: Failed password for root from 41.234.76.163 port 4118 ssh2
Jun 27 15:35:22 archlinux sshd[3878]: Failed password for root from 41.196.71.135 port 2634 ssh2
Jun 27 15:35:25 archlinux sshd[3876]: Failed password for root from 41.234.76.163 port 4118 ssh2
Jun 27 15:35:25 archlinux sshd[3878]: Failed password for root from 41.196.71.135 port 2634 ssh2
Jun 27 15:35:27 archlinux sshd[3876]: Failed password for root from 41.234.76.163 port 4118 ssh2
Jun 27 15:35:27 archlinux sshd[3878]: Failed password for root from 41.196.71.135 port 2634 ssh2
Jun 27 15:35:27 archlinux sshd[3878]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-41-196-71-135.static.link.com.eg  user=root
Jun 27 15:35:27 archlinux sshd[3878]: PAM service(sshd) ignoring max retries; 6 > 3
Jun 27 15:35:29 archlinux sshd[3876]: Failed password for root from 41.234.76.163 port 4118 ssh2
Jun 27 15:35:29 archlinux sshd[3876]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-41.234.76.163.tedata.net  user=root
Jun 27 15:35:29 archlinux sshd[3876]: PAM service(sshd) ignoring max retries; 6 > 3
Jun 27 15:35:39 archlinux sshd[3880]: reverse mapping checking getaddrinfo for host [41.196.71.135] failed - POSSIBLE BREAK-IN ATTEMPT!
Jun 27 15:35:39 archlinux sshd[3880]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=41.196.71.135  user=root
Jun 27 15:35:41 archlinux sshd[3880]: Failed password for root from 41.196.71.135 port 2635 ssh2
Jun 27 15:35:43 archlinux sshd[3882]: reverse mapping checking getaddrinfo for host [41.234.76.163] failed - POSSIBLE BREAK-IN ATTEMPT!
Jun 27 15:35:43 archlinux sshd[3880]: Failed password for root from 41.196.71.135 port 2635 ssh2
Jun 27 15:35:44 archlinux sshd[3882]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=41.234.76.163  user=root
Jun 27 15:35:44 archlinux sshd[3880]: Failed password for root from 41.196.71.135 port 2635 ssh2
Jun 27 15:35:45 archlinux sshd[3882]: Failed password for root from 41.234.76.163 port 4119 ssh2
Jun 27 15:35:47 archlinux sshd[3880]: Failed password for root from 41.196.71.135 port 2635 ssh2
Jun 27 15:35:48 archlinux sshd[3882]: Failed password for root from 41.234.76.163 port 4119 ssh2
Jun 27 15:35:49 archlinux sshd[3880]: Failed password for root from 41.196.71.135 port 2635 ssh2
Jun 27 15:35:51 archlinux sshd[3882]: Failed password for root from 41.234.76.163 port 4119 ssh2
Jun 27 15:35:52 archlinux sshd[3880]: Failed password for root from 41.196.71.135 port 2635 ssh2
Jun 27 15:35:52 archlinux sshd[3880]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=41.196.71.135  user=root
Jun 27 15:35:52 archlinux sshd[3880]: PAM service(sshd) ignoring max retries; 6 > 3
Jun 27 15:35:53 archlinux sshd[3882]: Failed password for root from 41.234.76.163 port 4119 ssh2
Jun 27 15:35:55 archlinux sshd[3882]: Failed password for root from 41.234.76.163 port 4119 ssh2
Jun 27 15:35:57 archlinux sshd[3882]: Failed password for root from 41.234.76.163 port 4119 ssh2
SEGUE MOLTO DOPO
Jun 30 19:26:41 archlinux sshd[4693]: Invalid user stephen from 134.121.40.202
Jun 30 19:26:41 archlinux sshd[4693]: pam_unix(sshd:auth): check pass; user unknown
Jun 30 19:26:41 archlinux sshd[4693]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=s28040202.temp.wsu.edu 
Jun 30 19:26:41 archlinux sshd[4695]: Invalid user moised from 134.121.40.202
Jun 30 19:26:41 archlinux sshd[4695]: pam_unix(sshd:auth): check pass; user unknown
Jun 30 19:26:41 archlinux sshd[4695]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=s28040202.temp.wsu.edu 
Jun 30 19:26:42 archlinux sshd[4693]: Failed password for invalid user stephen from 134.121.40.202 port 48270 ssh2
Jun 30 19:26:43 archlinux sshd[4695]: Failed password for invalid user moised from 134.121.40.202 port 48372 ssh2
Jun 30 19:26:45 archlinux sshd[4697]: Invalid user richard from 134.121.40.202
Jun 30 19:26:45 archlinux sshd[4697]: pam_unix(sshd:auth): check pass; user unknown
Jun 30 19:26:45 archlinux sshd[4697]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=s28040202.temp.wsu.edu 
Jun 30 19:26:46 archlinux sshd[4699]: Invalid user numis from 134.121.40.202
Jun 30 19:26:46 archlinux sshd[4699]: pam_unix(sshd:auth): check pass; user unknown
Jun 30 19:26:46 archlinux sshd[4699]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=s28040202.temp.wsu.edu 
Jun 30 19:26:47 archlinux sshd[4697]: Failed password for invalid user richard from 134.121.40.202 port 48942 ssh2
Jun 30 19:26:48 archlinux sshd[4699]: Failed password for invalid user numis from 134.121.40.202 port 48993 ssh2
Jun 30 19:26:49 archlinux sshd[4701]: Invalid user george from 134.121.40.202
Jun 30 19:26:49 archlinux sshd[4701]: pam_unix(sshd:auth): check pass; user unknown
Jun 30 19:26:49 archlinux sshd[4701]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=s28040202.temp.wsu.edu 
Jun 30 19:26:50 archlinux sshd[4703]: Invalid user oprea from 134.121.40.202
Jun 30 19:26:50 archlinux sshd[4703]: pam_unix(sshd:auth): check pass; user unknown
Jun 30 19:26:50 archlinux sshd[4703]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=s28040202.temp.wsu.edu 
Jun 30 19:26:51 archlinux sshd[4703]: Failed password for invalid user oprea from 134.121.40.202 port 49666 ssh2
Jun 30 19:26:51 archlinux sshd[4701]: Failed password for invalid user george from 134.121.40.202 port 49321 ssh2
Jun 30 19:26:54 archlinux sshd[4705]: Invalid user paul from 134.121.40.202
Jun 30 19:26:54 archlinux sshd[4705]: pam_unix(sshd:auth): check pass; user unknown
Jun 30 19:26:54 archlinux sshd[4705]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=s28040202.temp.wsu.edu 
Jun 30 19:26:54 archlinux sshd[4706]: Invalid user michael from 134.121.40.202
Jun 30 19:26:54 archlinux sshd[4706]: pam_unix(sshd:auth): check pass; user unknown
Jun 30 19:26:54 archlinux sshd[4706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=s28040202.temp.wsu.edu 
Jun 30 19:26:56 archlinux sshd[4705]: Failed password for invalid user paul from 134.121.40.202 port 50029 ssh2
Jun 30 19:26:56 archlinux sshd[4706]: Failed password for invalid user michael from 134.121.40.202 port 50031 ssh2
Jun 30 19:26:59 archlinux sshd[4709]: Invalid user preist from 134.121.40.202
Jun 30 19:26:59 archlinux sshd[4709]: pam_unix(sshd:auth): check pass; user unknown
Ecco! Vedere che Michael, Paul, Richard e compagnia bella stanno bussando alla mia porta mi inquieta non poco. Spero solo che la porta sia rimasta ben blindata, e anche se proseguo leggendo e rileggendo i log non è che mi sia molto chiaro.
Posso solo aggiungere che ho i file auth.log, auth.log1 e auth.log2 pieni zeppi delle righe descritte, e che il tutto è iniziato tra il 20 e il 21 giugno.
Conclusione: cosa si suppone che dovrei fare? (colpo a parte)...
Ultima modifica di morbin il 7 luglio 2010, 18:47, modificato 1 volta in totale.

Avatar utente
Berseker
Amministratore
Messaggi: 4432
Iscritto il: 27 settembre 2007, 10:18
Architettura: x86_64 (64bit)
Località: Lecco (provincia)

Messaggio da Berseker » 7 luglio 2010, 7:26

innanzitutto, chiediti perchè hai installato ssh (e soprattutto, perchè lo hai tenuto attivo) se non ti serviva (addirittura manco l'hai usato la prima volta per vedere se andava..)

comunque per vedere se qualcuno effettivamente è riuscito a loggarsi, basta che guardi in quei log auth.log cercando con

Codice: Seleziona tutto

sudo less /var/log/auth.log | grep "session" | grep "ssh"
li vedi quali login sono stati effettivamente eseguiti con successo (e quindi poi chiusi) via ssh
Leggete il Regolamento e cercate sempre su googleforumwiki prima di chiedere.
Tag x thread risolti: [Risolto] + Spazio messo all'inizio del titolo. Grazie

ArchWiki / Board Internazionale / Blog

aleph
Robin Hood
Messaggi: 1530
Iscritto il: 12 febbraio 2008, 16:30
Contatta:

Messaggio da aleph » 7 luglio 2010, 12:40

se non ti serve, tira pure giù il server ssh . . se invece ti serve, disabilita l'autenticazione tramite password e lascia solo quella tramite chiave asimmetrica (googla per come usarla, non è difficile) . . l'autenticazione tramite chiave asimmetrica è virtualmente inattaccabile, quindi puoi lasciarla esposta sulla rete senza troppi rischi . .
ImmagineOutside of a dog, computers are a man's best friend, inside a dog it's too dark to type.

morbin
Arciere Provetto
Messaggi: 546
Iscritto il: 20 gennaio 2010, 1:18
Località: Spagna

Messaggio da morbin » 7 luglio 2010, 15:37

Dunque:
ssh lo ho installato per averlo pronto in qualsiasi momento mi serva. Chiave asimmetrica a parte (modalità che nel futuro metterò in pratica), non credevo che il fatto di mantenere il server attivo potesse risultare pericoloso, suppongo di non averci mai pensato.

Ho dato il comando indicato e non restituisce alcun tipo di output. Il che vuol dire che nessun accesso è stato eseguito, giusto?

Comunque Berseker, riflettendo su quanto mi scrivi, in effetti... ssh attivo ed in ascolto tutto il tempo non mi serve assolutamente.
Vorrei solo averlo installato e configurato in modo da poterlo usare all'occorrenza.
Farei una cosa del genere:
1. Un bel ! sul demone in rc.conf
2. Porta chiusa sul firewall.
Così dovrebbe andare bene, no?

Avatar utente
Berseker
Amministratore
Messaggi: 4432
Iscritto il: 27 settembre 2007, 10:18
Architettura: x86_64 (64bit)
Località: Lecco (provincia)

Messaggio da Berseker » 7 luglio 2010, 16:05

la porta lasciala aperta, oppure devi ricordarti di aprirla ogni volta che decidi che ti serve ssh e che quindi lo attivi. per il punto esclamativo va bene ;)
Leggete il Regolamento e cercate sempre su googleforumwiki prima di chiedere.
Tag x thread risolti: [Risolto] + Spazio messo all'inizio del titolo. Grazie

ArchWiki / Board Internazionale / Blog

issproevolution
Arciere Provetto
Messaggi: 517
Iscritto il: 22 settembre 2007, 20:20
Località: /dev/null

Messaggio da issproevolution » 7 luglio 2010, 18:04

potresti informarti sul knockin door, che accende ssh solo quando qualcuno "bussa" a determinate porte con una determinata sequenza... sarebbe molto utile nel tuo caso ;)

morbin
Arciere Provetto
Messaggi: 546
Iscritto il: 20 gennaio 2010, 1:18
Località: Spagna

Messaggio da morbin » 7 luglio 2010, 18:46

Fatto così quindi!
Interessante anche il discorso del knocking door. Approfondirò con calma.
Vedendolo col solito senno di poi, mi rendo conto di aver fatto una gran babbuinata, ad impostare il server ad oltranza senza tener conto delle conseguenze.
Grazie per i consigli.

Avatar utente
pierluigi
Amministratore
Messaggi: 1206
Iscritto il: 26 agosto 2007, 15:39

Messaggio da pierluigi » 7 luglio 2010, 19:11

aggiungo che anche solo cambiare la porta di ssh (con una bella porta alta casuale) è una soluzione veloce per evitare attacchi automatici

Rispondi