Tentata intrusione?
Nicola Gatta
nicola.gatta a yoda.ing.unibs.it
Mar 25 Maggio 2004 19:44:22 UTC
On Tue, May 25, 2004 at 09:52:37AM +0200, Manuel wrote:
>
> Ciao a Tutti,
> ho trovato queste righe in /var/log/messages del server di posta aziendale:
>
> May 23 10:04:43 webmail sshd[8922]: Did not receive identification
> string from 221.8.10.118
> e
> May 24 01:29:32 webmail sshd[9686]: Did not receive identification
> string from 210.5.213.197
>
> Ho fatto un whois e sembrerebbe un service provider cinese nel primo
> caso e di Hong Kong nel secondo...scusate la mia ignoranza, ma รจ per
> caso un tentativo di intrusione? Se si, cosa devo verificare per evitare
> problemi?
Di solito questi log vengono generati quando la conessione SSH non
viene completata con successo.
Si tratta quindi, con ogni probabilita', di una scansione. Da questo e'
molto difficile dedurre se ci sia stata un'intrusione.
Per verificare se c'e' stata un'intrusione, visto che si parla di traffico
cifrato e che probabilmente non hai installato un sistema di Host-IDS, l'unica
possibilita' e' la presenza di altri log strani e di comportamenti strani della
macchina. Ma se il "lavoro" e' stato fatto ad arte e' *molto* difficile
accorgersene.
PS: Ma e' proprio necessario aprire SSH a tutto il mondo?
HTH,
Nicola
--
"Desasters in our century: Hiroshima 45, Cernobyl 86, windoze95"
Maggiori informazioni sulla lista
Lug
|
