(re)azione a tentativo di intrusione SSH
Luca Coianiz
luca a coianiz.it
Lun 28 Nov 2005 18:20:10 UTC
Ciao a tutti,
Visto che (si dice) la ML è moribonda (lol) faccio un piccolo tentativo di
risvegliarla (scherzo, ovviamente: è solo curiosità, la mia, per quanto
segue).
Da un pò di tempo a questa parte ricevo, come penso molti altri, una serie
di "scan" SSH (tentativi di login)... tentativi, a mio parere, piuttosto
inutili in quanto (1) non ho account "del cavolo" (Guest, Test, Admin, ecc.
:D) e (2) la sicurezza delle password degli account esistenti è stata
testata con Jack the Ripper... che viaggia MOLTO più veloce dei tentativi di
cui sopra.
Per dare un'idea (forse superflua):
~> cat /var/log/messages | grep ssh
Nov 28 07:49:50 home sshd[7979]: Did not receive identification string from
::ffff:134.107.4.189
Nov 28 08:22:02 home sshd[11842]: Failed password for fax from
::ffff:134.107.4.189 port 35771 ssh2
Nov 28 08:22:02 home sshd[11842]: Received disconnect from
::ffff:134.107.4.189: 11: Bye Bye
Nov 28 08:22:03 home sshd[11845]: input_userauth_request: illegal user
uploader
Nov 28 08:22:03 home sshd[11845]: Failed password for illegal user uploader
from ::ffff:134.107.4.189 port 35868 ssh2
Nov 28 08:22:03 home sshd[11845]: Received disconnect from
::ffff:134.107.4.189: 11: Bye Bye
Nov 28 08:22:04 home sshd[11848]: input_userauth_request: illegal user
upload
(...some time later...)
Nov 28 08:49:56 home sshd[16721]: input_userauth_request: illegal user
heaven
Nov 28 08:49:56 home sshd[16721]: Failed password for illegal user heaven
from ::ffff:134.107.4.189 port 44110 ssh2
Nov 28 08:49:56 home sshd[16721]: Received disconnect from
::ffff:134.107.4.189: 11: Bye Bye
Nov 28 08:49:57 home sshd[16725]: input_userauth_request: illegal user
guadalupe
Nov 28 08:49:57 home sshd[16725]: Failed password for illegal user guadalupe
from ::ffff:134.107.4.189 port 44195 ssh2
Nov 28 08:49:57 home sshd[16725]: Received disconnect from
::ffff:134.107.4.189: 11: Bye Bye
Questo era un "duro": di solito si "stancano" in 3-4 minuti ('sti script).
Noto, oltre a tutto, che gli attacchi avvengono in modo "seriale" e non in
parallelo (da più host), anche se la cosa non presenta ovviamente certezza
matematica: statisticamente ho visto che è così.
La domanda, quindi: qualcuno (1) pensa che il problema possa essere serio o
(2) ha pensato/fatto qualcosa in merito?
Io, più per "divertimento" che altro, pensavo ad una piccola
cron/automazione che (1) facesse un tail degli ultimi 50-100 record dei
messages, (2) verificasse la presenza di record in formato "sshd ... Failed
password ...", (3) reccogliesse l'IP dell'intruder (lol) e lo inserisse in
una BlackList locale, (4) inserisse una regola "drop" nel firewall sul
quell'IP, (5) passasse a "liberare" dalla BlackList eventuali IP non più
presenti... così a braccio. ;)
Un cron che girasse ogni 5' (o anche 2-3')... commenti?
LC
P.S.
Per chi se lo domandasse: sì, ho utenti che accedono da remoto via SSH. ;)
Ed anche: no... non mi pare il caso di montare $nome_di_grosso_NIDS :D
Maggiori informazioni sulla lista
Lug
|