Pagina 2 di 3 PrimaPrima 123 UltimaUltima
Risultati da 11 a 20 di 22

Discussione: Aiuto!! "Unknown from"

  1. #11
    Junior Member
    Data Registrazione
    Sep 2016
    Località
    Milano
    Messaggi
    24
    Citazione Originariamente Scritto da Kaos Visualizza Messaggio
    Quello dei needed è una delle possibili cause dalle quali può derivare un attacco di questo tipo.
    Attenzione al fatto che se vedi scritto "issued: login with account "serveradmin"(serveradmin)" (sempre dai log) vuol dire che è stato effettuato il login con successo, quindi con una password corretta, se l'ip non è il tuo allora c'è sempre qualcuno con gli accessi amministrativi. Bannare gli ip malevoli inoltre non è per niente una soluzione, cambiare ip è la cosa più facile di questo mondo.
    Ah ok, no comunque, da quando quelli sono entrati, nei logs non ho mai visto accessi al "serveradmin" se non con il mio IP.. comunque, se mi consiglia di cambiare IP, dovrei comprare un nuovo server da zero? O c'è qualche altra soluzione? (lo spero)
    Grazie

  2. #12
    Fondatore L'avatar di Kaos
    Data Registrazione
    Sep 2011
    Località
    Verona - Italy
    Messaggi
    2,846
    Mi riferivo all'ip dell'attaccante. Cambiare quello del server è inutile.
    Se nei log non c'è nessun login da parte loro e dopo aver cambiato i vari needed non sono più riusciti ad accedere con diritti amministrativi può darsi che sia stato risolto il problema.

  3. #13
    Junior Member
    Data Registrazione
    Sep 2016
    Località
    Milano
    Messaggi
    24
    Citazione Originariamente Scritto da Kaos Visualizza Messaggio
    Mi riferivo all'ip dell'attaccante. Cambiare quello del server è inutile.
    Se nei log non c'è nessun login da parte loro e dopo aver cambiato i vari needed non sono più riusciti ad accedere con diritti amministrativi può darsi che sia stato risolto il problema.
    Ah ok, la ringrazio.. Solo un'altra domanda:
    Le chiedo per cortesia se può spiegarmi come appunto cambiare l'ip dell'attaccante, nel caso possa succedere di nuovo.. Così almeno sono già preparato.
    Grazie mille

  4. #14
    Fondatore L'avatar di Kaos
    Data Registrazione
    Sep 2011
    Località
    Verona - Italy
    Messaggi
    2,846
    È l'attaccante che lo cambia e non sei te l'attaccante.

  5. #15
    Junior Member
    Data Registrazione
    Sep 2016
    Località
    Milano
    Messaggi
    24
    Citazione Originariamente Scritto da Kaos Visualizza Messaggio
    È l'attaccante che lo cambia e non sei te l'attaccante.
    Perciò in poche parole, dopo aver sistemato i permessi, non si può fare più fare nient'altro? E se questi rientrano ancora e danno fastidio, la mia unica salvezza è comprare completamente un server nuovo?
    Ultima modifica di Gioele; 13-09-2016 alle 10:22 PM

  6. #16
    Fondatore L'avatar di Kaos
    Data Registrazione
    Sep 2011
    Località
    Verona - Italy
    Messaggi
    2,846
    Comprare un server non risolverebbe niente, si ripresenterebbe il problema col tempo. Piuttosto resettalo e non toccare nessun permesso, vedi se possono ancora fare qualcosa.
    Parlando di server, non è che hanno la password al server stesso? I log con i login all'ssh cosa dicono? Controlla anche quello.

  7. #17
    Junior Member
    Data Registrazione
    Sep 2016
    Località
    Milano
    Messaggi
    24
    Citazione Originariamente Scritto da Kaos Visualizza Messaggio
    Comprare un server non risolverebbe niente, si ripresenterebbe il problema col tempo. Piuttosto resettalo e non toccare nessun permesso, vedi se possono ancora fare qualcosa.
    Parlando di server, non è che hanno la password al server stesso? I log con i login all'ssh cosa dicono? Controlla anche quello.
    Ah ok, comunque per l'accesso al server non ci ho proprio pensato.. adesso cambierò la password di accesso.
    Sa dirmi per caso dove si trovano i log di accesso a ssh?

  8. #18
    Fondatore L'avatar di Kaos
    Data Registrazione
    Sep 2011
    Località
    Verona - Italy
    Messaggi
    2,846
    Dipende da che distribuzione linux è, solitamente in /var/log/auth (debian, ecc.) o /var/log/secure (redhat, ecc.).

  9. #19
    Junior Member
    Data Registrazione
    Sep 2016
    Località
    Milano
    Messaggi
    24
    Citazione Originariamente Scritto da Kaos Visualizza Messaggio
    Dipende da che distribuzione linux è, solitamente in /var/log/auth (debian, ecc.) o /var/log/secure (redhat, ecc.).
    Ah ok, grazie mille.. Se provo ad inviarle anche questi log può capire se qualcuno a tentato o è riuscito ad entrare??
    Ho notato guardando i log, queste stringhe con un ip totalmente sconosciuto che tentava l'accesso al root:
    Sep 16 06:36:08 happycommunity sshd[3702]: Did not receive identification string from 109.195.84.192
    Sep 16 06:36:08 happycommunity sshd[3703]: reverse mapping checking getaddrinfo for 109x195x84x192.static-business.spb.ertelecom.ru [109.195.84.192] failed - POSSIBLE BREAK-IN ATTEMPT!
    Sep 16 06:36:08 happycommunity sshd[3703]: Invalid user 1234 from 109.195.84.192
    Sep 16 06:36:08 happycommunity sshd[3703]: input_userauth_request: invalid user 1234 [preauth]
    Sep 16 06:36:08 happycommunity sshd[3703]: pam_unix(sshd:auth): check pass; user unknown
    Sep 16 06:36:08 happycommunity sshd[3703]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.195.84.192
    Sep 16 06:36:10 happycommunity sshd[3703]: Failed password for invalid user 1234 from 109.195.84.192 port 65004 ssh2
    Sep 16 06:36:10 happycommunity sshd[3703]: Connection closed by 109.195.84.192 [preauth]
    Sep 16 06:36:10 happycommunity sshd[3705]: reverse mapping checking getaddrinfo for 109x195x84x192.static-business.spb.ertelecom.ru [109.195.84.192] failed - POSSIBLE BREAK-IN ATTEMPT!
    Sep 16 06:36:10 happycommunity sshd[3705]: Invalid user PlcmSpIp from 109.195.84.192
    Sep 16 06:36:10 happycommunity sshd[3705]: input_userauth_request: invalid user PlcmSpIp [preauth]
    Sep 16 06:36:11 happycommunity sshd[3705]: pam_unix(sshd:auth): check pass; user unknown
    Sep 16 06:36:11 happycommunity sshd[3705]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.195.84.192
    Sep 16 06:36:12 happycommunity sshd[3705]: Failed password for invalid user PlcmSpIp from 109.195.84.192 port 49481 ssh2
    Sep 16 06:36:12 happycommunity sshd[3705]: Connection closed by 109.195.84.192 [preauth]
    Sep 16 06:36:13 happycommunity sshd[3707]: reverse mapping checking getaddrinfo for 109x195x84x192.static-business.spb.ertelecom.ru [109.195.84.192] failed - POSSIBLE BREAK-IN ATTEMPT!
    Sep 16 06:36:13 happycommunity sshd[3707]: Invalid user user from 109.195.84.192
    Sep 16 06:36:13 happycommunity sshd[3707]: input_userauth_request: invalid user user [preauth]
    Sep 16 06:36:13 happycommunity sshd[3707]: pam_unix(sshd:auth): check pass; user unknown
    Sep 16 06:36:13 happycommunity sshd[3707]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.195.84.192
    Sep 16 06:36:15 happycommunity sshd[3707]: Failed password for invalid user user from 109.195.84.192 port 50318 ssh2
    Sep 16 06:36:15 happycommunity sshd[3707]: Connection closed by 109.195.84.192 [preauth]


    Non penso sono accessi che provengono dall'hosting, perchè se controllo su "IPFinder" questo ip, noto che la provenienza e dalla "Russia" capitale "Mosca"..
    Comunque se vuole controllare le metto i log d'accesso:
    http://www.mediafire.com/download/c3...5swq2/auth.log

    Grazie per il supporto che mi sta offrendo =)

  10. #20
    Fondatore L'avatar di Kaos
    Data Registrazione
    Sep 2011
    Località
    Verona - Italy
    Messaggi
    2,846
    Non c'è niente di strano nei log, ci sono degli accepted password da parte tua per l'account root e basta. (oltre ad una miriade di tentativi bloccati, ma è normale essendo un server esposto in rete)

    Codice:
    Line 12748: Sep 12 17:41:01 happycommunity sshd[15537]: Accepted password for root from 79.16.128.124 port 49470 ssh2
    Line 18634: Sep 13 12:58:30 happycommunity sshd[17493]: Accepted password for root from 79.16.128.124 port 49281 ssh2
    Line 23908: Sep 14 09:09:43 happycommunity sshd[20604]: Accepted password for root from 79.16.128.124 port 49365 ssh2
    Line 23923: Sep 14 09:11:29 happycommunity sshd[20675]: Accepted password for root from 79.16.128.124 port 49419 ssh2
    Line 24758: Sep 14 12:28:25 happycommunity sshd[26440]: Accepted password for root from 79.16.128.124 port 49346 ssh2
    Line 24764: Sep 14 12:29:14 happycommunity sshd[26470]: Accepted password for root from 79.16.128.124 port 49353 ssh2
    Line 24771: Sep 14 12:30:50 happycommunity sshd[26508]: Accepted password for root from 79.16.128.124 port 49428 ssh2
    Line 32288: Sep 15 16:03:39 happycommunity sshd[10286]: Accepted password for root from 79.16.128.124 port 49347 ssh2
    Line 37735: Sep 16 12:50:47 happycommunity sshd[14677]: Accepted password for root from 79.16.128.124 port 51389 ssh2
    Line 37742: Sep 16 12:51:06 happycommunity sshd[14711]: Accepted password for root from 79.16.128.124 port 51394 ssh2
    Probabile allora che sia nato tutto da una malconfigurazione di permessi di ts.

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Disattivato
  • Il codice HTML è Disattivato