Aiuto!! "Unknown from"

**Gioele** · 12-09-2016, 02:41 PM

Originariamente Scritto da Kaos

Quello dei needed è una delle possibili cause dalle quali può derivare un attacco di questo tipo.
Attenzione al fatto che se vedi scritto "issued: login with account "serveradmin"(serveradmin)" (sempre dai log) vuol dire che è stato effettuato il login con successo, quindi con una password corretta, se l'ip non è il tuo allora c'è sempre qualcuno con gli accessi amministrativi. Bannare gli ip malevoli inoltre non è per niente una soluzione, cambiare ip è la cosa più facile di questo mondo.

Ah ok, no comunque, da quando quelli sono entrati, nei logs non ho mai visto accessi al "serveradmin" se non con il mio IP.. comunque, se mi consiglia di cambiare IP, dovrei comprare un nuovo server da zero? O c'è qualche altra soluzione? (lo spero)
Grazie

**Kaos** · 12-09-2016, 07:25 PM

Mi riferivo all'ip dell'attaccante. Cambiare quello del server è inutile.
Se nei log non c'è nessun login da parte loro e dopo aver cambiato i vari needed non sono più riusciti ad accedere con diritti amministrativi può darsi che sia stato risolto il problema.

**Gioele** · 12-09-2016, 11:39 PM

Originariamente Scritto da Kaos

Mi riferivo all'ip dell'attaccante. Cambiare quello del server è inutile.
Se nei log non c'è nessun login da parte loro e dopo aver cambiato i vari needed non sono più riusciti ad accedere con diritti amministrativi può darsi che sia stato risolto il problema.

Ah ok, la ringrazio.. Solo un'altra domanda:
Le chiedo per cortesia se può spiegarmi come appunto cambiare l'ip dell'attaccante, nel caso possa succedere di nuovo.. Così almeno sono già preparato.
Grazie mille

**Kaos** · 13-09-2016, 11:00 AM

È l'attaccante che lo cambia e non sei te l'attaccante.

**Gioele** · 13-09-2016, 07:10 PM

Originariamente Scritto da Kaos

È l'attaccante che lo cambia e non sei te l'attaccante.

Perciò in poche parole, dopo aver sistemato i permessi, non si può fare più fare nient'altro? E se questi rientrano ancora e danno fastidio, la mia unica salvezza è comprare completamente un server nuovo?

**Kaos** · 14-09-2016, 11:58 AM

Comprare un server non risolverebbe niente, si ripresenterebbe il problema col tempo. Piuttosto resettalo e non toccare nessun permesso, vedi se possono ancora fare qualcosa.
Parlando di server, non è che hanno la password al server stesso? I log con i login all'ssh cosa dicono? Controlla anche quello.

**Gioele** · 14-09-2016, 03:12 PM

Originariamente Scritto da Kaos

Comprare un server non risolverebbe niente, si ripresenterebbe il problema col tempo. Piuttosto resettalo e non toccare nessun permesso, vedi se possono ancora fare qualcosa.
Parlando di server, non è che hanno la password al server stesso? I log con i login all'ssh cosa dicono? Controlla anche quello.

Ah ok, comunque per l'accesso al server non ci ho proprio pensato.. adesso cambierò la password di accesso.
Sa dirmi per caso dove si trovano i log di accesso a ssh?

**Kaos** · 14-09-2016, 10:58 PM

Dipende da che distribuzione linux è, solitamente in /var/log/auth (debian, ecc.) o /var/log/secure (redhat, ecc.).

**Gioele** · 16-09-2016, 07:07 PM

Originariamente Scritto da Kaos

Dipende da che distribuzione linux è, solitamente in /var/log/auth (debian, ecc.) o /var/log/secure (redhat, ecc.).

Ah ok, grazie mille.. Se provo ad inviarle anche questi log può capire se qualcuno a tentato o è riuscito ad entrare??
Ho notato guardando i log, queste stringhe con un ip totalmente sconosciuto che tentava l'accesso al root:
Sep 16 06:36:08 happycommunity sshd[3702]: Did not receive identification string from 109.195.84.192
Sep 16 06:36:08 happycommunity sshd[3703]: reverse mapping checking getaddrinfo for 109x195x84x192.static-business.spb.ertelecom.ru [109.195.84.192] failed - POSSIBLE BREAK-IN ATTEMPT!
Sep 16 06:36:08 happycommunity sshd[3703]: Invalid user 1234 from 109.195.84.192
Sep 16 06:36:08 happycommunity sshd[3703]: input_userauth_request: invalid user 1234 [preauth]
Sep 16 06:36:08 happycommunity sshd[3703]: pam_unix(sshd:auth): check pass; user unknown
Sep 16 06:36:08 happycommunity sshd[3703]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.195.84.192
Sep 16 06:36:10 happycommunity sshd[3703]: Failed password for invalid user 1234 from 109.195.84.192 port 65004 ssh2
Sep 16 06:36:10 happycommunity sshd[3703]: Connection closed by 109.195.84.192 [preauth]
Sep 16 06:36:10 happycommunity sshd[3705]: reverse mapping checking getaddrinfo for 109x195x84x192.static-business.spb.ertelecom.ru [109.195.84.192] failed - POSSIBLE BREAK-IN ATTEMPT!
Sep 16 06:36:10 happycommunity sshd[3705]: Invalid user PlcmSpIp from 109.195.84.192
Sep 16 06:36:10 happycommunity sshd[3705]: input_userauth_request: invalid user PlcmSpIp [preauth]
Sep 16 06:36:11 happycommunity sshd[3705]: pam_unix(sshd:auth): check pass; user unknown
Sep 16 06:36:11 happycommunity sshd[3705]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.195.84.192
Sep 16 06:36:12 happycommunity sshd[3705]: Failed password for invalid user PlcmSpIp from 109.195.84.192 port 49481 ssh2
Sep 16 06:36:12 happycommunity sshd[3705]: Connection closed by 109.195.84.192 [preauth]
Sep 16 06:36:13 happycommunity sshd[3707]: reverse mapping checking getaddrinfo for 109x195x84x192.static-business.spb.ertelecom.ru [109.195.84.192] failed - POSSIBLE BREAK-IN ATTEMPT!
Sep 16 06:36:13 happycommunity sshd[3707]: Invalid user user from 109.195.84.192
Sep 16 06:36:13 happycommunity sshd[3707]: input_userauth_request: invalid user user [preauth]
Sep 16 06:36:13 happycommunity sshd[3707]: pam_unix(sshd:auth): check pass; user unknown
Sep 16 06:36:13 happycommunity sshd[3707]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.195.84.192
Sep 16 06:36:15 happycommunity sshd[3707]: Failed password for invalid user user from 109.195.84.192 port 50318 ssh2
Sep 16 06:36:15 happycommunity sshd[3707]: Connection closed by 109.195.84.192 [preauth]

Non penso sono accessi che provengono dall'hosting, perchè se controllo su "IPFinder" questo ip, noto che la provenienza e dalla "Russia" capitale "Mosca"..
Comunque se vuole controllare le metto i log d'accesso:
http://www.mediafire.com/download/c3...5swq2/auth.log

Grazie per il supporto che mi sta offrendo =)

**Kaos** · 18-09-2016, 03:17 PM

Non c'è niente di strano nei log, ci sono degli accepted password da parte tua per l'account root e basta. (oltre ad una miriade di tentativi bloccati, ma è normale essendo un server esposto in rete)

Codice:

Line 12748: Sep 12 17:41:01 happycommunity sshd[15537]: Accepted password for root from 79.16.128.124 port 49470 ssh2
Line 18634: Sep 13 12:58:30 happycommunity sshd[17493]: Accepted password for root from 79.16.128.124 port 49281 ssh2
Line 23908: Sep 14 09:09:43 happycommunity sshd[20604]: Accepted password for root from 79.16.128.124 port 49365 ssh2
Line 23923: Sep 14 09:11:29 happycommunity sshd[20675]: Accepted password for root from 79.16.128.124 port 49419 ssh2
Line 24758: Sep 14 12:28:25 happycommunity sshd[26440]: Accepted password for root from 79.16.128.124 port 49346 ssh2
Line 24764: Sep 14 12:29:14 happycommunity sshd[26470]: Accepted password for root from 79.16.128.124 port 49353 ssh2
Line 24771: Sep 14 12:30:50 happycommunity sshd[26508]: Accepted password for root from 79.16.128.124 port 49428 ssh2
Line 32288: Sep 15 16:03:39 happycommunity sshd[10286]: Accepted password for root from 79.16.128.124 port 49347 ssh2
Line 37735: Sep 16 12:50:47 happycommunity sshd[14677]: Accepted password for root from 79.16.128.124 port 51389 ssh2
Line 37742: Sep 16 12:51:06 happycommunity sshd[14711]: Accepted password for root from 79.16.128.124 port 51394 ssh2

Probabile allora che sia nato tutto da una malconfigurazione di permessi di ts.

Discussione: Aiuto!! "Unknown from"

Strumenti Discussione

Ricerca Discussione

Visualizzazione

Permessi di Scrittura