SSH configurazione di sicurezza

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
vincenzo79
Prode Principiante
Messaggi: 17
Iscrizione: mercoledì 12 ottobre 2005, 22:43

SSH configurazione di sicurezza

Messaggio da vincenzo79 »

Ciao a tutti,
mi chiamo Vincenzo e vi scrivo perchè sono incappato in un problema un po' particolare.
Da alcuni giorni ho acquistato un server VPS, sul sito www.transip.eu. Ho installato Ubuntu 13.10, MySql, Php, Tomcat 7, Apache. Diciamo che il server è un piccolo server che sto realizzando per un piccolo progetto che mi è stato commissionato. Sostanzialmente si tratta di realizzare un social network stile Facebook per un ente privato a cui poi andranno agganciate le notifiche push per iPhone / iPad e i device Android.
Ieri sera ricevo una email dal provider "transip.eu" che mi segna che il mio server ha provato ad effettuare delle connessioni all'interno di altri server presenti all'interno della rete di Transip, la cosa bella è che il tutto secondo loro è avvenuto tramite ssh.
Personalmente mi è sembrato strano ma purtroppo non capendoci molto ho cercato su internet senza particolari soluzioni. Il problema adesso che è il provider non sbloccherà il mio server finché non risolvo il problema.
Di seguito l'errore che mi è stato segnalato..
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
reverse mapping checking getaddrinfo for XXX-XXX-XXX-XX.colo.transip.net failed - POSSIBLE BREAK-IN ATTEMPT!
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XX user=root
Failed password for root from XXX.XXX.XXX.XX port 49038 ssh2
Received disconnect from XXX.XXX.XXX.XX: 11: Bye Bye
reverse mapping checking getaddrinfo for XXX-XXX-XXX-XX.colo.transip.net failed - POSSIBLE BREAK-IN ATTEMPT!
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XX user=root
Failed password for root from XXX.XXX.XXX.XX port 50069 ssh2
Received disconnect from XXX.XXX.XXX.XX: 11: Bye Bye
reverse mapping checking getaddrinfo for XXX-XXX-XXX-XX.colo.transip.net failed - POSSIBLE BREAK-IN ATTEMPT!
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XX user=root
Failed password for root from XXX.XXX.XXX.XX port 50795 ssh2
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

C'è qualcosa che posso fare ?
Grazie a tutti,
Vincenzo
Avatar utente
harrykar
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1151
Iscrizione: giovedì 29 gennaio 2009, 19:43
Desktop: /bin/ksh; /bin/sh; gnome
Distribuzione: OpenBSD ; Debian ; Lucid10.4 86_64
Località: World Wide :)
Contatti:

Re: SSH configurazione di sicurezza

Messaggio da harrykar »

Ciao Vincenzo

Tutto puo' succedere in questo mondo sopratutto in INFOSEC e le soluzioni spesso purtroppo non sono ne banali ne veloci.
Domanda: Chi ha la responsabilita' di protegere Il server che hai affitato tu o il provider? Puoi dare piu informazioni circa le reponsabilita di gestione?

Per ora a prescindere dalla tua risposta come prima cosa mi viene in mente di adoperare un tracer di connessioni tipo Ethereal

Harry G. K.
"Arguing with an engineer is like wrestling with a pig in the mud; after a while you realize you are muddy and the pig is enjoying it." -- Don't Learn to HACK - Hack to LEARN -- cyberwarfare is now an active part of information warfare -- http://www.eecs.ucf.edu/~leavens/litera ... tions.html
vincenzo79
Prode Principiante
Messaggi: 17
Iscrizione: mercoledì 12 ottobre 2005, 22:43

Re: SSH configurazione di sicurezza

Messaggio da vincenzo79 »

Ciao,
come prima cosa grazie della risposta.
Da quello che ho letto la manutenzione del server è a mio carico.
Effettuando qualche ricerca ho notato che potrebbe esserci qualche Job eseguito con il crontab (spero di non aver detto una baggianata), ma andando ad eseguire il comando crontab -l per vedere l'elenco dei job sia per l'utente root che per l'utente che uso di solito, non risultano job attivi.
Onestamente mi sto iniziando un po' a scocciare..io capisco tutta la sicurezza del mondo, capisco che non sono un sistemista Linux, ma non capisco il motivo di dover chiudere tutti i servizi se il server è a mio carico.
Cosa posso fare, oltre a cambiare provider ?
Grazie,
Vincenzo
Avatar utente
harrykar
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1151
Iscrizione: giovedì 29 gennaio 2009, 19:43
Desktop: /bin/ksh; /bin/sh; gnome
Distribuzione: OpenBSD ; Debian ; Lucid10.4 86_64
Località: World Wide :)
Contatti:

Re: SSH configurazione di sicurezza

Messaggio da harrykar »

vincenzo79 [url=http://forum.ubuntu-it.org/viewtopic.php?p=4621015#p4621015][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Ciao,
come prima cosa grazie della risposta.
Da quello che ho letto la manutenzione del server è a mio carico.
Ok allora oltre a metter tutto sto ben di Dio su che misure di protezione hai adottato per i tuoi servers?
Effettuando qualche ricerca ho notato che potrebbe esserci qualche Job eseguito con il crontab (spero di non aver detto una baggianata), ma andando ad eseguire il comando crontab -l per vedere l'elenco dei job sia per l'utente root che per l'utente che uso di solito, non risultano job attivi.
Onestamente mi sto iniziando un po' a scocciare..io capisco tutta la sicurezza del mondo, capisco che non sono un sistemista Linux, ma non capisco il motivo di dover chiudere tutti i servizi se il server è a mio carico.
Cosa posso fare, oltre a cambiare provider ?
Grazie,
Vincenzo
se come lascui intendere puoi metterr qualsiasi sw nella macchina del tuo provider metti uno sniffer (tipo ethereal o altro di tua preferenza) e' il solo modo che mi viene in mente adesso per monitorare e capire il traffico rete in quella macchina o se non puoi tu affidati a gente esperta in Infosec

Ceers,
Harry G. K.
"Arguing with an engineer is like wrestling with a pig in the mud; after a while you realize you are muddy and the pig is enjoying it." -- Don't Learn to HACK - Hack to LEARN -- cyberwarfare is now an active part of information warfare -- http://www.eecs.ucf.edu/~leavens/litera ... tions.html
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 9 ospiti