Ciao a tutti,
mi chiamo Vincenzo e vi scrivo perchè sono incappato in un problema un po' particolare.
Da alcuni giorni ho acquistato un server VPS, sul sito www.transip.eu. Ho installato Ubuntu 13.10, MySql, Php, Tomcat 7, Apache. Diciamo che il server è un piccolo server che sto realizzando per un piccolo progetto che mi è stato commissionato. Sostanzialmente si tratta di realizzare un social network stile Facebook per un ente privato a cui poi andranno agganciate le notifiche push per iPhone / iPad e i device Android.
Ieri sera ricevo una email dal provider "transip.eu" che mi segna che il mio server ha provato ad effettuare delle connessioni all'interno di altri server presenti all'interno della rete di Transip, la cosa bella è che il tutto secondo loro è avvenuto tramite ssh.
Personalmente mi è sembrato strano ma purtroppo non capendoci molto ho cercato su internet senza particolari soluzioni. Il problema adesso che è il provider non sbloccherà il mio server finché non risolvo il problema.
Di seguito l'errore che mi è stato segnalato..
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
reverse mapping checking getaddrinfo for XXX-XXX-XXX-XX.colo.transip.net failed - POSSIBLE BREAK-IN ATTEMPT!
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XX user=root
Failed password for root from XXX.XXX.XXX.XX port 49038 ssh2
Received disconnect from XXX.XXX.XXX.XX: 11: Bye Bye
reverse mapping checking getaddrinfo for XXX-XXX-XXX-XX.colo.transip.net failed - POSSIBLE BREAK-IN ATTEMPT!
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XX user=root
Failed password for root from XXX.XXX.XXX.XX port 50069 ssh2
Received disconnect from XXX.XXX.XXX.XX: 11: Bye Bye
reverse mapping checking getaddrinfo for XXX-XXX-XXX-XX.colo.transip.net failed - POSSIBLE BREAK-IN ATTEMPT!
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XX user=root
Failed password for root from XXX.XXX.XXX.XX port 50795 ssh2
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
C'è qualcosa che posso fare ?
Grazie a tutti,
Vincenzo
SSH configurazione di sicurezza
-
- Prode Principiante
- Messaggi: 17
- Iscrizione: mercoledì 12 ottobre 2005, 22:43
- harrykar
- Entusiasta Emergente
- Messaggi: 1151
- Iscrizione: giovedì 29 gennaio 2009, 19:43
- Desktop: /bin/ksh; /bin/sh; gnome
- Distribuzione: OpenBSD ; Debian ; Lucid10.4 86_64
- Località: World Wide :)
- Contatti:
Re: SSH configurazione di sicurezza
Ciao Vincenzo
Tutto puo' succedere in questo mondo sopratutto in INFOSEC e le soluzioni spesso purtroppo non sono ne banali ne veloci.
Domanda: Chi ha la responsabilita' di protegere Il server che hai affitato tu o il provider? Puoi dare piu informazioni circa le reponsabilita di gestione?
Per ora a prescindere dalla tua risposta come prima cosa mi viene in mente di adoperare un tracer di connessioni tipo Ethereal
Harry G. K.
Tutto puo' succedere in questo mondo sopratutto in INFOSEC e le soluzioni spesso purtroppo non sono ne banali ne veloci.
Domanda: Chi ha la responsabilita' di protegere Il server che hai affitato tu o il provider? Puoi dare piu informazioni circa le reponsabilita di gestione?
Per ora a prescindere dalla tua risposta come prima cosa mi viene in mente di adoperare un tracer di connessioni tipo Ethereal
Harry G. K.
"Arguing with an engineer is like wrestling with a pig in the mud; after a while you realize you are muddy and the pig is enjoying it." -- Don't Learn to HACK - Hack to LEARN -- cyberwarfare is now an active part of information warfare -- http://www.eecs.ucf.edu/~leavens/litera ... tions.html
-
- Prode Principiante
- Messaggi: 17
- Iscrizione: mercoledì 12 ottobre 2005, 22:43
Re: SSH configurazione di sicurezza
Ciao,
come prima cosa grazie della risposta.
Da quello che ho letto la manutenzione del server è a mio carico.
Effettuando qualche ricerca ho notato che potrebbe esserci qualche Job eseguito con il crontab (spero di non aver detto una baggianata), ma andando ad eseguire il comando crontab -l per vedere l'elenco dei job sia per l'utente root che per l'utente che uso di solito, non risultano job attivi.
Onestamente mi sto iniziando un po' a scocciare..io capisco tutta la sicurezza del mondo, capisco che non sono un sistemista Linux, ma non capisco il motivo di dover chiudere tutti i servizi se il server è a mio carico.
Cosa posso fare, oltre a cambiare provider ?
Grazie,
Vincenzo
come prima cosa grazie della risposta.
Da quello che ho letto la manutenzione del server è a mio carico.
Effettuando qualche ricerca ho notato che potrebbe esserci qualche Job eseguito con il crontab (spero di non aver detto una baggianata), ma andando ad eseguire il comando crontab -l per vedere l'elenco dei job sia per l'utente root che per l'utente che uso di solito, non risultano job attivi.
Onestamente mi sto iniziando un po' a scocciare..io capisco tutta la sicurezza del mondo, capisco che non sono un sistemista Linux, ma non capisco il motivo di dover chiudere tutti i servizi se il server è a mio carico.
Cosa posso fare, oltre a cambiare provider ?
Grazie,
Vincenzo
- harrykar
- Entusiasta Emergente
- Messaggi: 1151
- Iscrizione: giovedì 29 gennaio 2009, 19:43
- Desktop: /bin/ksh; /bin/sh; gnome
- Distribuzione: OpenBSD ; Debian ; Lucid10.4 86_64
- Località: World Wide :)
- Contatti:
Re: SSH configurazione di sicurezza
Ok allora oltre a metter tutto sto ben di Dio su che misure di protezione hai adottato per i tuoi servers?vincenzo79 [url=http://forum.ubuntu-it.org/viewtopic.php?p=4621015#p4621015][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Ciao,
come prima cosa grazie della risposta.
Da quello che ho letto la manutenzione del server è a mio carico.
se come lascui intendere puoi metterr qualsiasi sw nella macchina del tuo provider metti uno sniffer (tipo ethereal o altro di tua preferenza) e' il solo modo che mi viene in mente adesso per monitorare e capire il traffico rete in quella macchina o se non puoi tu affidati a gente esperta in InfosecEffettuando qualche ricerca ho notato che potrebbe esserci qualche Job eseguito con il crontab (spero di non aver detto una baggianata), ma andando ad eseguire il comando crontab -l per vedere l'elenco dei job sia per l'utente root che per l'utente che uso di solito, non risultano job attivi.
Onestamente mi sto iniziando un po' a scocciare..io capisco tutta la sicurezza del mondo, capisco che non sono un sistemista Linux, ma non capisco il motivo di dover chiudere tutti i servizi se il server è a mio carico.
Cosa posso fare, oltre a cambiare provider ?
Grazie,
Vincenzo
Ceers,
Harry G. K.
"Arguing with an engineer is like wrestling with a pig in the mud; after a while you realize you are muddy and the pig is enjoying it." -- Don't Learn to HACK - Hack to LEARN -- cyberwarfare is now an active part of information warfare -- http://www.eecs.ucf.edu/~leavens/litera ... tions.html
Chi c’è in linea
Visualizzano questa sezione: 0 utenti iscritti e 9 ospiti