[italy-tech] reboot e sicurezza

psylocibe psylocibe at riseup.net
Mon Nov 10 09:40:01 PST 2008 

andando a verificare l'uptime del server, si può vedere che è stato
riavviato attorno alle ore 22.00 di sabato 8 novembre. non so se sia stato
qualcuno di noi, però chiedendo un po' in chat nessuno mi ha detto di
averlo fatto.

io comunque sono andato a guardare in /var/log/auth.log e si vede che il
riavvio è avvenuto subito dopo una lunga serie di tentativi di accesso via
SSH basati su dizionario. giusto per capirci, il log delle autenticazioni
è pieno di queste robe da almeno una settimana (questo è solo un estratto,
la lista è kilometrica):

Nov  8 21:07:14 kyashan sshd[15189]: Invalid user eppc from -------------
Nov  8 21:07:15 kyashan sshd[15192]: Invalid user telnetd from -------------
Nov  8 21:07:18 kyashan sshd[15195]: Invalid user identd from -------------
Nov  8 21:07:22 kyashan sshd[15201]: Invalid user jeff from -------------
Nov  8 21:07:28 kyashan sshd[15211]: Invalid user eleve from -------------
Nov  8 21:07:35 kyashan sshd[15221]: Invalid user zzz from -------------
Nov  8 21:07:37 kyashan sshd[15225]: Invalid user frank from -------------
Nov  8 21:07:39 kyashan sshd[15228]: Invalid user dan from -------------
Nov  8 21:07:43 kyashan sshd[15231]: Invalid user james from -------------
Nov  8 21:07:45 kyashan sshd[15242]: Invalid user snort from -------------
Nov  8 21:07:50 kyashan sshd[15245]: Invalid user radiomail from
-------------
Nov  8 21:07:52 kyashan sshd[15249]: Invalid user harrypotter from
-------------
Nov  8 21:07:54 kyashan sshd[15252]: Invalid user divine from -------------
Nov  8 21:07:56 kyashan sshd[15256]: Invalid user popa3d from -------------
Nov  8 21:07:58 kyashan sshd[15259]: Invalid user aptproxy from -------------
Nov  8 21:08:00 kyashan sshd[15267]: Invalid user desktop from -------------
Nov  8 21:08:02 kyashan sshd[15280]: Invalid user workshop from -------------
Nov  8 21:08:04 kyashan sshd[15282]: Invalid user mailnull from -------------
Nov  8 21:08:06 kyashan sshd[15287]: Invalid user nfsnobody from
-------------
Nov  8 21:08:08 kyashan sshd[15290]: Invalid user rpcuser from -------------
Nov  8 21:08:10 kyashan sshd[15300]: Invalid user rpc from -------------
Nov  8 21:08:13 kyashan sshd[15310]: Invalid user gopher from -------------

So per esperienza che questo tipo di tentativi di attacco sono molto
frequenti sulle macchine *nix perennemente collegate a internet, e nella
maggior parte dei casi sono attacchi che riescono molto, molto raramente.

E' pur vero che *potrebbe* essersi verificata un'intrusione. Quello che
dico di fare io è:

- fare una scansione seria per verificare che nella macchina non ci siano
dei rootkit o roba del genere;
- cambiare tutti quanti le nostre password, in maniera tale che siano
altamente difficili da generare; ci sono tutta una serie di programmi che
generano password di ottima qualità.
- spostare la porta su cui sta in ascolto il daemone SSH su una porta non
standard (cioè NON tenerlo più sulla 22) per ridurre al minimo questo tipo
di attacchi.

psylocibe

More information about the italy-tech mailing list