[sicurezza]Tentativi ssh da 220.70.167.67? sembra famoso...

[Cazzantonio]

Ho tutta una serie di tentativi da parte di questo ip sulla mia porta ssh

[lavish]

Madonna!

Non e' possibile che sia una sorta di attacco automatizzato da un server da qualche parte?
_________________
minimalblue.com | secgroup.github.io/

[fat_penguin]

www.iana.org e www.ripe.net sono i "gestori degli ip" ... sui siti trovi degli strumenti (whois) per vedere a chi appartengono gli ip...

Puoi provare a chiedere al tuo provider di droppare le connessioni da questo ip...

byebye
fat_penguin

[paperp]

Ciao cazza....effettivamente è un pò ingrbugliato io ho provato questo traceroute , con nslookup o lookup ,niente ,

[silian87]

Si, e' imbrugliato.... con xtraceroute ho visto che me lo prende in inghilterra a Latitudine "51.500000" e longitudine "-0.170000" .

Questo e' l'ultimo ip che mi prende prima di una serie di not-response "61.78.9.186"
_________________
Musica che ascolto: http://www.last.fm/user/silian87/

Silian87 FAQs: http://marentax.homelinux.org/~silian87/silian87-faq.txt

GTalk: silian87@gmail.com

[nightblade]

E' un ip di Kornet, un provider coreano.

Puoi mandare una mail a abuse@kornet.net o a hyejin@kt.co.kr spiegandogli che ricevi attacchi da parte di un loro IP.

[Cazzantonio]

https://forums.gentoo.org/viewtopic.php?t=210585&postdays=0&postorder=asc&highlight=hostname&start=0

anche in questo topic c'è gente che riceve connesioni sshd su login come "test, admin, root..."
inizio seriamente a preoccuparmi...
nessuno di voi, spulciando nei log, ha mai trovato niente di questo tipo?
Secondo voi cosa sarebbe meglio fare in questi casi?
Premetto che finora le mie impostazioni di sicurezza erano solo le password...
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne

[silian87]

Io ho la porta ssh chiusa dal router... quindi penso che dovrei stare tranquillo...
_________________
Musica che ascolto: http://www.last.fm/user/silian87/

Silian87 FAQs: http://marentax.homelinux.org/~silian87/silian87-faq.txt

GTalk: silian87@gmail.com

[Cazzantonio]

[molesto]

sarà qualche lamer che fa lo scan di indirizzi ip per vedere se incappa
in qualcosa di interessante...


forse ha visto troppe volte war games...

non mi preoccuperei più di tanto.
_________________
http://www.immeritus.org
The Sirius Black fan club

[nightblade]

[nightblade]

[randomaze]

[Cazzantonio]

ok, grazie per le info sui siti che non conoscevo (utilizzo il pc per tutt'altri scopi che la sicurezza... e questo è il mio pc di casa, per cui pace se entrano )
Comunque è la prima volta che noto tentativi del genere... per bannare un indirizzo ip basta metterlo in /etc/host.deny vero? oppure devo ricorrere ad iptables (che non so usare, anche se prima o poi, quando avrò tempo, voglio impararlo)
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne

[nightblade]

[Cazzantonio]

@nightblade
Ho un router adsl che funziona anche da firewall
DI solito tutte le porte in entrata sono chiuse (tranne qualcuna per mldonkey, che però gira sotto chroot ) ma recentemente ho avuto bisogno di usare ssh quindi avevo aperto le porte del router...
finora non mi sono messo mai a smanettare con iptables perchè avento un firewall nel router mi sentivo a posto...
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne

[nightblade]

[koma]

http://www.nukedgallery.net/modules.php?name=IPBan&file=countryinfo&cc=kr&start=40 qui dice che è stato bandito dalla korea quell'ip.. ora dico.. allora non è nemmeno koreano
_________________
http://www.youtube.com/watch?v=_yoJI-Tl94g GLORY GLORY HYPNOTOAD

[Cazzantonio]

è il grande fratello che ci spia...
Ho sentito dire che la cina sta effettuando operazioni su larga scala su internet... chi sà
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne

[nightblade]

[koma]

ah pensavo ufficialmente in korea... non mastico bene l'inglese. in ogni caso boh sto tipo deve essere un mago delle reti o un lamero senza speranza
_________________
http://www.youtube.com/watch?v=_yoJI-Tl94g GLORY GLORY HYPNOTOAD

[nightblade]

[acidcrash]

Ragazzi niente panico, è un normalissimo brute force dictionary attack su ssh, nulla di nuovo; basta rispettare una buona politica di scelta delle password e si può stare tranquilli. Sui sistemi che gestisco, ne vedo a centinaia di tentativi di questo tipo, ogni giorno. Basta utilizzare password di almeno 8 caratteri, alfanumeriche e non del tipo data di nascita, nome del gatto, compleanno della nonna.

Probabilmente questo tipo di attacco è generato da codici simili a questo:

http://www.k-otik.com/exploits/08202004.brutessh2.c.php

Un saluto
AcidCrash

[nightblade]

[mambro]