linux user group brescia
immagine del castello

Archivio della mailing list

(re)azione a tentativo di intrusione SSH

Luca Coianiz luca a coianiz.it
Lun 28 Nov 2005 18:20:10 UTC 
	Ciao a tutti,

 Visto che (si dice) la ML è moribonda (lol) faccio un piccolo tentativo di
risvegliarla (scherzo, ovviamente: è solo curiosità, la mia, per quanto
segue).

 Da un pò di tempo a questa parte ricevo, come penso molti altri, una serie
di "scan" SSH (tentativi di login)... tentativi, a mio parere, piuttosto
inutili in quanto (1) non ho account "del cavolo" (Guest, Test, Admin, ecc.
:D) e (2) la sicurezza delle password degli account esistenti è stata
testata con Jack the Ripper... che viaggia MOLTO più veloce dei tentativi di
cui sopra.

 Per dare un'idea (forse superflua):

~> cat /var/log/messages | grep ssh

Nov 28 07:49:50 home sshd[7979]: Did not receive identification string from
::ffff:134.107.4.189
Nov 28 08:22:02 home sshd[11842]: Failed password for fax from
::ffff:134.107.4.189 port 35771 ssh2
Nov 28 08:22:02 home sshd[11842]: Received disconnect from
::ffff:134.107.4.189: 11: Bye Bye
Nov 28 08:22:03 home sshd[11845]: input_userauth_request: illegal user
uploader
Nov 28 08:22:03 home sshd[11845]: Failed password for illegal user uploader
from ::ffff:134.107.4.189 port 35868 ssh2
Nov 28 08:22:03 home sshd[11845]: Received disconnect from
::ffff:134.107.4.189: 11: Bye Bye
Nov 28 08:22:04 home sshd[11848]: input_userauth_request: illegal user
upload

	(...some time later...)

Nov 28 08:49:56 home sshd[16721]: input_userauth_request: illegal user
heaven
Nov 28 08:49:56 home sshd[16721]: Failed password for illegal user heaven
from ::ffff:134.107.4.189 port 44110 ssh2
Nov 28 08:49:56 home sshd[16721]: Received disconnect from
::ffff:134.107.4.189: 11: Bye Bye
Nov 28 08:49:57 home sshd[16725]: input_userauth_request: illegal user
guadalupe
Nov 28 08:49:57 home sshd[16725]: Failed password for illegal user guadalupe
from ::ffff:134.107.4.189 port 44195 ssh2
Nov 28 08:49:57 home sshd[16725]: Received disconnect from
::ffff:134.107.4.189: 11: Bye Bye

 Questo era un "duro": di solito si "stancano" in 3-4 minuti ('sti script).
 Noto, oltre a tutto, che gli attacchi avvengono in modo "seriale" e non in
parallelo (da più host), anche se la cosa non presenta ovviamente certezza
matematica: statisticamente ho visto che è così.

 La domanda, quindi: qualcuno (1) pensa che il problema possa essere serio o
(2) ha pensato/fatto qualcosa in merito?

 Io, più per "divertimento" che altro, pensavo ad una piccola
cron/automazione che (1) facesse un tail degli ultimi 50-100 record dei
messages, (2) verificasse la presenza di record in formato "sshd ... Failed
password ...", (3) reccogliesse l'IP dell'intruder (lol) e lo inserisse in
una BlackList locale, (4) inserisse una regola "drop" nel firewall sul
quell'IP, (5) passasse a "liberare" dalla BlackList eventuali IP non più
presenti... così a braccio. ;)

 Un cron che girasse ogni 5' (o anche 2-3')... commenti?

	LC

P.S.
 Per chi se lo domandasse: sì, ho utenti che accedono da remoto via SSH. ;)
 Ed anche: no... non mi pare il caso di montare $nome_di_grosso_NIDS :D

Maggiori informazioni sulla lista Lug