OVH Community, your new community space.

Tentativo di accesso al mio server (OVH) da un server OVH


gen_patton
31.01.2012, 10.43
Citazione Originariamente Scritto da mac
In genere e per default nei sistemi *nix solo root e chi appartiene al gruppo root può fare il binding delle porte inferiori alla 1024. Spostando SSH su porte superiori, aumenti la possibilità che un utente (anche senza i privilegi di root) possa far crashare il demone ssh e magari sostituirlo con uno suo...
La cambio subito

mac
31.01.2012, 10.32
Citazione Originariamente Scritto da gen_patton
Interessante, puoi spiegarmi il motivo?

Grazie
In genere e per default nei sistemi *nix solo root e chi appartiene al gruppo root può fare il binding delle porte inferiori alla 1024. Spostando SSH su porte superiori, aumenti la possibilità che un utente (anche senza i privilegi di root) possa far crashare il demone ssh e magari sostituirlo con uno suo...

AxorB
31.01.2012, 10.12
@gen_patton

Prova a valutare anche soluzioni come fail2ban o simili che, bloccando temporaneamente gli IP dopo n tentativi di accesso, potrebbero rappresentare una soluzione dove non è possibile limitare a priori gli IP.

Può essere usato non solo per SSH ma anche per SMTP, POP3, FTP ecc.

PS se non sei un sistemista puoi sempre diventarlo (nessuno nasce sistemista)

gen_patton
31.01.2012, 08.22
Citazione Originariamente Scritto da mac
In ogni caso, spero almeno che la porta che hai scelto sia inferiore a 1024...
Interessante, puoi spiegarmi il motivo?

Grazie

mac
30.01.2012, 17.16
mah, non sono molto d'accordo, ma sono scelte personali.

In ogni caso, spero almeno che la porta che hai scelto sia inferiore a 1024...

gen_patton
30.01.2012, 16.59
Citazione Originariamente Scritto da mac
Cambiare porta a ssh è un modo (sbagliato) per risolvere il problema. Tuttavia, qualche risultato lo ottieni: hai meno schifezze nei log. basta
Visto che ogni volta che provo a fare il sistemista rischio di far danni, per ora mi accontento. Almeno adesso se lanciano il brunteforce sulla porta 22 non rischio che azzecchino la pass, o sbaglio? E dover azzeccare la porta impostata è un buon deterrente, giusto?

Per l'accesso con key mi informo con calma.

Ciao.

mac
30.01.2012, 16.32
Citazione Originariamente Scritto da gen_patton
Qualcuno un po esperto puo confermarmi che il metodo funziona, o al limite che non rischio di perdere l'accesso root, non vorrei dover piallare il server
Per funzionare funziona.
Diciamo che non è il massimo della vita. Chi ti assicura che il tuo provider ad un certo punto non ti cambi anche la parte rete dell'IP?

Troverei più sensato l'accesso senza password mediante l'uso di key rsa e lock dell'accesso con password...
Codice:
# passwd -l tuoaccount
Cambiare porta a ssh è un modo (sbagliato) per risolvere il problema. Tuttavia, qualche risultato lo ottieni: hai meno schifezze nei log. basta

gen_patton
30.01.2012, 15.23
Ho preso coraggio e tramite guide trovate in rete ho cambiato la porta ssh sui miei server, fortunatamente è andato tutto tutto a buon fine.

gen_patton
18.01.2012, 20.07
Facendo una ricerca ho trovato questo metodo, utilizzando i file host.allow e host.deny:

----------------------------
#
# hosts.allow This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#

sshd: 93.42.
----------------------------

che sarebbero la parte di ip che non mi dovrebbe cambiare mai essendo io su ip dinamico

------------------------------
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!

sshd: ALL
-----------------------------

Qualcuno un po esperto puo confermarmi che il metodo funziona, o al limite che non rischio di perdere l'accesso root, non vorrei dover piallare il server

Grazie.

albert
18.01.2012, 11.17
Ciao,

non sono nemmeno io una cima ... ma e' sufficiente che crei una regola per bloccare le connessioni tcp, dalla porta 20 all 22 (ssh/ftp) per la classe IP che vuoi bloccare. Oppure fai l'inverso: blocca di default sull'ssh tranne i tuoi IP.

Altra cosa blocca l'accesso root ad ssh (nel file di config c'e' la riga relativa)

Anch'io sono stato oggetto di tentativi di intrusione da blocchi IP di ovh, su ambedue i servizi.

Alberto

gen_patton
16.01.2012, 17.19
Citazione Originariamente Scritto da MnEm0nIc
la sistemistica non e' cosa banale, e viene spesso sottovalutata, anche nelle aziende... poi quando qualcosa non funziona, sempre a noi si viene a chiamare...
Mai pensato, anzi era una delle specializzazioni che avevo in programma di approfondire. Il fatto è che non si puo sapere tutto, e sinceramente non posso permettermi un sistemista.

Concludo dicendo che cmq nonostante i miei server ricevano numerosi attacchi, non sono mai entrati, quindi le impostazioni di default di OVH sono sufficienti per sistemi non mission critical.

Ciao.

MnEm0nIc
16.01.2012, 16.47
Citazione Originariamente Scritto da gen_patton
Non me la prendo di certo, infatti penso che Plesk e simili servano appunto per dare la possibilità ai webmaster, che solitamente non sono sistemisti, di amministrare un server senza spendere una follia in sistemisti esterni
no, i pannelli non servono a sostituire i sistemisti, altrimenti installeremmo cPanel, Plesk o DirectAdmin ovunque.
i pannelli servono a rendere piu' semplice la gestione degli account web/mail/ftp, delegando ai sistemisti le configurazioni, la risoluzione dei problemi, la gestione dell'infrastruttura...
avere installato un pannello o fare semplicemente gli aggiornamenti del sistema operativo e dei servizi non sono le uniche operazioni che fanno i sistemisti, ne' sono indice di sistema sicuro.
la sistemistica non e' cosa banale, e viene spesso sottovalutata, anche nelle aziende... poi quando qualcosa non funziona, sempre a noi si viene a chiamare...

gen_patton
16.01.2012, 13.12
Codice:
non prenderla a male eh, ma se non sei un sistemista perche' gestisci un server dedicato senza averne le competenze?
Non me la prendo di certo, infatti penso che Plesk e simili servano appunto per dare la possibilità ai webmaster, che solitamente non sono sistemisti, di amministrare un server senza spendere una follia in sistemisti esterni

Codice:
sicuramente va punito, ma magari e' qualcuno come te che non sa gestirsi il server e dall'esterno stanno sfruttando qualche vulnerabilita' (che potrebbe non essere in ssh ma in altro, tipo script php o roba simile).
questo per dirti che puo' succedere che da bersaglio diventi attaccante, o forse lo sei gia' e non te ne sei accorto..
Su questo hai ragione.

Ciao.

Altro attacco ieri su un altro mio server da ip OVH

--------------------- SSHD Begin ------------------------


Illegal users from:
176.31.85.28: 459 times

MnEm0nIc
16.01.2012, 11.24
Citazione Originariamente Scritto da gen_patton
Hai perfettamente ragione, ma non sono un sistemista, e per adesso non ho tempo di studiarmi la questione.
non prenderla a male eh, ma se non sei un sistemista perche' gestisci un server dedicato senza averne le competenze?

Cmq chi tenta di entrare in un server altrui protetto è un criminale e va punito.
sicuramente va punito, ma magari e' qualcuno come te che non sa gestirsi il server e dall'esterno stanno sfruttando qualche vulnerabilita' (che potrebbe non essere in ssh ma in altro, tipo script php o roba simile).
questo per dirti che puo' succedere che da bersaglio diventi attaccante, o forse lo sei gia' e non te ne sei accorto..

Ciao.
ciao

tmit
16.01.2012, 10.55
abuse@ovh.net

mac
16.01.2012, 10.29
quoto in pieno gen_patton.

Tra l'altro, è pur vero che si possono prendere tutte le precauzioni e le contromisure del caso per i servizi (ed SSH in particolare), ma è anche vero che tentativi di accesso illegale così insistenti vanno scoraggiati alla fonte. (anche io ho subito diversi tentativi dallo stesso IP)
Inoltre, ricordo che OVH stessa fornisce una soluzione "pronta all'uso" (Release 2) che ha SSH aperto sulla porta 22.

Spero che si faccia qualcosa per questo vps13472.ovh.net, chiedo eventualmente quale sia il modo più corretto per segnalare questi abusi.

Grazie

gen_patton
16.01.2012, 07.17
Citazione Originariamente Scritto da MnEm0nIc
io non so che servizi hai sul tuo server, ma diciamo che l'accesso in SSH dovrebbe essere una cosa privilegiata per poche persone. se fosse cosi', non faresti prima a bloccare tutto sul firewall ed abilitare solo gli IP (o le classi) che ti servono?

ti risparmieresti un bel po' di noie, almeno per quanto riguarda SSH (che andrebbe in ogni caso configurato abilitando esclusivamente alcuni utenti, ad accesso esclusivo con chiave e disabilitando l'utente root).

ciao
Hai perfettamente ragione, ma non sono un sistemista, e per adesso non ho tempo di studiarmi la questione.
Cmq chi tenta di entrare in un server altrui protetto è un criminale e va punito.

Ciao.

mac
16.01.2012, 00.33
sshd:
Authentication Failures:
unknown (vps13472.ovh.net): 247 Time(s)
root (vps13472.ovh.net): 57 Time(s)
lp (vps13472.ovh.net): 1 Time(s)
mysql (vps13472.ovh.net): 1 Time(s)

MnEm0nIc
15.01.2012, 10.37
io non so che servizi hai sul tuo server, ma diciamo che l'accesso in SSH dovrebbe essere una cosa privilegiata per poche persone. se fosse cosi', non faresti prima a bloccare tutto sul firewall ed abilitare solo gli IP (o le classi) che ti servono?

ti risparmieresti un bel po' di noie, almeno per quanto riguarda SSH (che andrebbe in ogni caso configurato abilitando esclusivamente alcuni utenti, ad accesso esclusivo con chiave e disabilitando l'utente root).

ciao

gen_patton
15.01.2012, 08.43
Anche ieri attachi da Ip OVH

--------------------- pam_unix Begin ------------------------

sshd:
Authentication Failures:
unknown (46.105.229.140): 652 Time(s)
unknown (vps13472.ovh.net): 246 Time(s)
root (vps13472.ovh.net): 57 Time(s)
root (46.105.229.140): 12 Time(s)
bin (46.105.229.140): 7 Time(s)
adm (46.105.229.140): 3 Time(s)
daemon (46.105.229.140): 3 Time(s)
ftp (46.105.229.140): 3 Time(s)
halt (46.105.229.140): 3 Time(s)
lp (46.105.229.140): 3 Time(s)
mail (46.105.229.140): 3 Time(s)
mysql (46.105.229.140): 3 Time(s)
named (46.105.229.140): 3 Time(s)
news (46.105.229.140): 3 Time(s)
nobody (46.105.229.140): 3 Time(s)
ntp (46.105.229.140): 3 Time(s)
operator (46.105.229.140): 3 Time(s)
shutdown (46.105.229.140): 3 Time(s)
smmsp (46.105.229.140): 3 Time(s)
sshd (46.105.229.140): 3 Time(s)
sync (46.105.229.140): 3 Time(s)
games (46.105.229.140): 2 Time(s)
gopher (46.105.229.140): 2 Time(s)
mailnull (46.105.229.140): 2 Time(s)
pcap (46.105.229.140): 2 Time(s)
rpc (46.105.229.140): 2 Time(s)
rpm (46.105.229.140): 2 Time(s)
uucp (46.105.229.140): 2 Time(s)
lp (vps13472.ovh.net): 1 Time(s)
mysql (vps13472.ovh.net): 1 Time(s)
Invalid Users:
Unknown Account: 898 Time(s)
Bad User: : 1 Time(s)


---------------------- pam_unix End -------------------------


--------------------- SSHD Begin ------------------------


Failed logins from:
46.105.8.31 (vps13472.ovh.net): 59 times
46.105.229.140: 81 times

Illegal users from:
46.105.8.31 (vps13472.ovh.net): 248 times
46.105.229.140: 652 times


Received disconnect:
11: Bye Bye : 1040 Time(s)

---------------------- SSHD End -------------------------

gen_patton
14.01.2012, 07.28
Anche ieri tentativi da IP OVH

sshd:
Authentication Failures:
unknown (176.31.85.28): 141 Time(s) <- OVH
root (vps13472.ovh.net): 69 Time(s)
unknown (vps13472.ovh.net): 53 Time(s)
root (176.31.85.28): 37 Time(s) <- OVH
ftp (vps13472.ovh.net): 5 Time(s)
unknown (mail.gs-server.de): 4 Time(s)
bin (176.31.85.28): 1 Time(s) <- OVH
ftp (176.31.85.28): 1 Time(s) <- OVH
games (176.31.85.28): 1 Time(s) <- OVH
gopher (176.31.85.28): 1 Time(s) <- OVH
mailman (176.31.85.28): 1 Time(s) <- OVH
mailnull (176.31.85.28): 1 Time(s) <- OVH
mysql (176.31.85.28): 1 Time(s) <- OVH
news (176.31.85.28): 1 Time(s) <- OVH
rpc (176.31.85.28): 1 Time(s) <- OVH
smmsp (176.31.85.28): 1 Time(s) <- OVH
uucp (176.31.85.28): 1 Time(s) <- OVH
Invalid Users:
Unknown Account: 198 Time(s)

--------------------- SSHD Begin ------------------------


Failed logins from:
46.105.8.31 (vps13472.ovh.net): 74 times
176.31.85.28: 48 times <- OVH

Illegal users from:
46.105.8.31 (vps13472.ovh.net): 53 times
46.228.196.71 (mail.gs-server.de): 4 times
176.31.85.28: 141 times <- OVH


Received disconnect:
11: Bye Bye : 320 Time(s)

---------------------- SSHD End -------------------------

gen_patton
13.01.2012, 10.19
Altri tentativi tra cui 188 da un server OVH

sshd:
Authentication Failures:
root (176.31.85.28): 188 Time(s) <- OVH
root (184.154.183.235): 1 Time(s)
root (87.236.194.158): 1 Time(s)

--------------------- SSHD Begin ------------------------


Failed logins from:
87.236.194.158 (unassigned-87.236.194.158.coolhousing.net): 1 time
93.182.132.103 (exit2.ipredator.se): 1 time
176.31.85.28: 188 times <- OVH
184.154.183.235 (servidor.serverx07.com): 1 time


Ed ha provato anche un altro mio server

sshd:
Authentication Failures:
root (176.31.85.28): 188 Time(s) <- OVH
root (46.105.229.140): 179 Time(s) <- OVH
root (193.210.53.147): 109 Time(s)
unknown (193.210.53.147): 59 Time(s)
root (46.28.64.213): 7 Time(s)
postgres (193.210.53.147): 6 Time(s)
ftp (193.210.53.147): 5 Time(s)
unknown (46.105.229.140): 1 Time(s)
Invalid Users:
Unknown Account: 60 Time(s)


--------------------- SSHD Begin ------------------------


Failed logins from:
46.28.64.213 (woman22.ru.64.28.46.in-addr.arpa): 7 times
46.105.229.140: 179 times <- OVH
176.31.85.28: 188 times <- OVH
193.210.53.147: 120 times

Illegal users from:
46.105.229.140: 1 time
193.210.53.147: 59 times

Ciao.

gen_patton
11.01.2012, 13.57
Nel log di oggi non c'è piu traccia dell'attacco.

Grazie.

gen_patton
10.01.2012, 12.42
Confermerò domani con il nuovo daily di logwatch, cmq di solito non ricevo attacchi dallo stesso IP per due giorni di seguito (segnalo sempre all'abuse dell' IP appena ricevo il log)

Ciao.

torpado
10.01.2012, 12.12
Citazione Originariamente Scritto da gen_patton
Da logwatch di oggi:

..
Failed logins from:
188.165.219.68 (ns212272.ovh.net): 114 times

Illegal users from:
188.165.219.68 (ns212272.ovh.net): 65 times


Received disconnect:
11: Bye Bye : 179 Time(s)


Ciao.
Grazie per la segnalazione, l'amministratore è stato già avvisato dal nostro sistema antihack, il problema dovrebbe ora essere risolto, confermi ?

gen_patton
10.01.2012, 11.54
Da logwatch di oggi:

sshd:
Authentication Failures:
root (ns212272.ovh.net): 109 Time(s)
unknown (ns212272.ovh.net): 65 Time(s)
ftp (ns212272.ovh.net): 5 Time(s)
Invalid Users:
Unknown Account: 65 Time(s)

--------------------- SSHD Begin ------------------------


Failed logins from:
188.165.219.68 (ns212272.ovh.net): 114 times

Illegal users from:
188.165.219.68 (ns212272.ovh.net): 65 times


Received disconnect:
11: Bye Bye : 179 Time(s)


Ciao.