Tentativi di accesso ssh....

Riccardo Torrini riccardo a torrini.org
Mer 11 Ago 2004 11:53:44 CEST


On Wed, Aug 11, 2004 at 11:07:30AM +0200, Gianfranco Mior wrote:

> sono un po' di giorni che in una quindicina di macchine sparse qua e
> la' nel territorio, con accesso continuo ad internet, si verificano
> dei tentativi di accesso da ssh tipo questi qua:
> ...
> Aug 10 00:47:53 server sshd[2571]: Failed password for root from 
> 67.43.235.129 port 4094 ssh2
> ...
> Gli indirizzi di provenienza sono tra i piu' disparati.

Si, succede anche a me a casa (in ditta accetto ssh _solo_ da un
numero ristretto di host assolutamente sicuri e fidati).  Penso ci
sia un nuovo script-kiddies che attacca qualche OS che permette
l'accesso ssh a root (no, FreeBSD di default non lo permette).

-----8<-----
Aug 11 00:01:30 silos sshd[52387]: Failed password for root from \
	210.204.129.11 port 35935 ssh2
Aug 11 00:01:34 silos sshd[52389]: Illegal user test from \
	210.204.129.11
-----8<-----

I miei vengono dalla korea, russia, polonia...


> Cosa potrebbe essere? Mi piacerebbe dare una risposta "rassicurante"
> agli utlizzatori che vedono ogni tanto apparire sullo schermo dei
> server bersagliati messaggi tipo: server sshd[202] error: PAM:
> Authentication failure.... e che si preoccupano per la sicurezza
> della loro rete. 

Potresti dirgli che fino a quando vedono il messaggio di errore non
ci sono problemi (tentativo fallito = non e' entrato nessuno) e che
devono invece preoccuparsi se non lo vedono (a meno che tu non abbia
aggiunto l'audit dei tentativi riusciti).

Ma forse cosi' si preoccuperebbero ancora di piu'  =8-}

Limitare gli host da cui puoi entrare in ssh?


-- 
Riccardo. ( http://www.GUFI.org/~vic/ )



Maggiori informazioni sulla lista varie