Attenzioni indesiderate sulla 22

Giuseppe Dia giusedia a aliceposta.it
Dom 27 Feb 2005 03:50:44 CET


Salve,
vi sottopongo un problema che mi sta lasciando parecchio perplesso.
Da circa una settimana ho notato nei log dei tentativi di intrusione sul 
mio gateway casalingo. Dagli orari e dalle modalita' di approccio, 
capisco che si tratta di una persona che sta tentando di entrare tramite 
il mio ssh.


Feb 18 17:10:10 cartoccio sshd2[16996]: WARNING: DNS lookup failed for 
"200.223.      ".
Feb 18 17:10:10 cartoccio sshd2[16996]: Local disconnected: Connection 
closed by
 remote host.
Feb 18 17:10:10 cartoccio sshd2[16996]: connection lost: 'Connection 
closed by r
emote host.'
Feb 18 17:11:53 cartoccio sshd2[278]: connection from "218.232.      "
Feb 18 17:11:54 cartoccio sshd2[17000]: WARNING: DNS lookup failed for 
"218.232.    ".
Feb 18 17:11:58 cartoccio sshd2[17000]: WARNING: sshd2-auth: The client 
requeste
d authentication method `password', that is not allowed for user `test'.
Feb 18 17:11:59 cartoccio sshd2[278]: connection from "218.232.      "
Feb 18 17:11:59 cartoccio sshd2[17002]: WARNING: DNS lookup failed for 
"218.232.     ".
Feb 18 17:12:07 cartoccio sshd2[17002]: WARNING: sshd2-auth: The client 
requeste
d authentication method `password', that is not allowed for user `guest'.
Feb 18 17:21:54 cartoccio sshd2[17000]: LoginGraceTime exceeded.
Feb 18 17:21:59 cartoccio sshd2[17002]: LoginGraceTime exceeded.
Feb 19 07:37:50 cartoccio sshd2[278]: connection from "202.113.       "
Feb 19 07:37:56 cartoccio sshd2[18194]: WARNING: sshd2-auth: The client 
requeste
d authentication method `password', that is not allowed for user `root'.

Non vi pasto il resto, ma si capisce che e' un attacco mirato e non uno 
script che testa.
Il mio ssh (ssh.com dai ports, su una 4.11 aggiornata la settimana 
scorsa) usa le chiavi e non permette l'autenticazione tramite password, 
e  ha loggato diversi di questi approcci durante tutta la settimana.
Non c'e' altro di rilevante sui log, ne su ftp ne su apache. Mi sembra 
un attacco mirato, o perlomeno qualcuno che si sia fissato col mio server.
Allo stato attuale il sistema appare integro, lo conferma anche 
tripwire. Sto momentaneamente mettendo il firewall davanti alla 22, ma 
ovviamente potermi loggare da remoto mi serve.
Spostare ssh su una porta non standard aiuterebbe poco visto che si 
tratta di un attacco mirato. Stavo pensando ad una maniera di abbassare 
il fw su ssh solo per me, un login tramite ssl su apache...
datemi qualche consiglio e' scocciante essere presi di mira. Ssh mi 
serve...che sia stata la versione poco comune ad attirare il tipo 
(ssh.com invece di openssh?)
Pensavo anche al recente post su bugtraq ssh attack... ma non mi pare la 
stessa cosa..
Attendo i vs suggerimenti, nell'attesa ssh rimane firewallato.
Saluti.



Maggiori informazioni sulla lista aiuto