attacco ad ssh riuscito? uffa!

Astharoth · 10 Gennaio 2009, 9:22pm

La cosa che mi fa sorridere è che te ne sei accorta grazie ad avg probabilmente perché hanno copiato il file bash in questione (che secondo me, si sono cocciuto, era infetto con qualche robaccia da windows magari anche senza che l’attaccante ne fosse consapevole) probabilmente per utilizzarlo come parte della fase 2 dell’attacco magari ad altri computer della LAN. Insomma ringrazia i virus per windows eheheh.
Altra cosa: limitare l’accesso a ssh solo in base all’ip non è il massimo (visto che dal log si evince che era possibile loggarsi come root). Se non sbaglio nel file di configurazione di ssh puoi sia dire di non permettere a root di loggarsi sia specificare un elenco esclusivo di account abilitati a fare login. L’opzione era qualcosa tipo AllowUser. Poi ti crei un account apposito per ssh con magari un nome un po’ “bislacco” da mettere in AllowUser tanto per rendere un po’ più difficile le cose agli intrusi che devono perdere tempo ulteriore. Cosa di primaria importanza perché non esistono attacchi impossibili, ma solo attacchi troppo costosi. Rendere le cose più difficili/lunghe è un ottimo modo per scoraggiare la maggior parte degli attaccanti. E dopo questa frase “altisonante” che mi farà guadagnare qualche insulto me ne esco!

virus · 11 Gennaio 2009, 11:34am

la tua ipotesi di un file infetto proveniente da altro sistema non è affatto peregrina.

escher · 11 Gennaio 2009, 5:29pm

Ciao manga,
lo so -e’ pallosissimo- ma protresti testare la tecnica del Port Knocking.
Un link tra i tanti:
http://www.linuxjournal.com/article/6811

P.S.
Nahh … sono anni che attendo di studiare l’evento che e’ capitato a te…
soprattutto visto che si tratta di “CHinEsE dEMOcRACy WAs HeRe…”
ma che peccato peccatissimo!

silvio · 11 Gennaio 2009, 5:38pm

Scusate parlo dal profondo della mia ignoranza ( avete presente la Fossa delle Marianne? siamo più o meno lì), se AVG ha rilevato il file infetto io capisco che sulla macchina gira AVG su linux. Mi riesce difficile comprendere come mai avere un antivirus ed insieme non un firewall attivo.
Come ho detto all’inizio questa domanda è per imparare.

Grazie
Silvio

virus · 11 Gennaio 2009, 5:43pm

perché probabilmente Manga fa passare “traffico” attraverso quella macchina diretto a macchine windows.
l’avg, le serve per proteggere windows, non linux.

silvio · 11 Gennaio 2009, 5:51pm

Grazie virus, ho capito il mistero misterioso

Silvio

virus · 11 Gennaio 2009, 5:53pm

comunque qui si discute non di virus come erroneamente indica il titolo ma di un attacco ad ssh che pare essere riuscito.
cosa, come ha sottolineato Escher, estremamente rara.

@Manga – cambio il titolo in : attacco ad ssh riuscito? uffa!

lucadj · 12 Gennaio 2009, 11:50am

Ciao Manga,
perché non usare un firewall? se hai un range di ip da abilitare lo puoi fare direttamente dal firewall e lasciare il servizio ssh chiuso per gli altri, magari spostandolo anche su una porta non standard abbastanza alta!

Il consigli di piallare te lo do anche io, anche se una controllatina con chkrootkit la darei prima di cancellare tutto

luca.

manga · 12 Gennaio 2009, 1:34pm

oh yes, ora ho abilitato il firewall e SeLinux, limitato il range di ip (solo i 4 che voglio io), messo password ad alta sicurezza (per loggarmi anch’io devo quasi crackarle) , username improbabili e blindato tutto. reinstallerò comunque fedora 10, appena ho valìa. intanto continuo a monitorare i log. grazie a tutti per i consigli, a presto!

virus · 12 Gennaio 2009, 1:46pm

ammesso che l’attacco sia riuscito, siamo ancora nel campo delle ipotesi,
il mio consiglio è piallare il sistema, il più presto possibile, compatibilmente con la situazione.
dilazionando, metti a rischio la sicurezza delle altre macchine che eventualmente fanno parte delle rete.