Virus? attacco hacker?

[scindypaul]

ciao amici. Ho da un annetto un piccolo server fatto con un raspberry su cui gira una derivata di debian (raspbian).
e' un piccolo server acceso 24h su 24 che uso come server dlna, ftp, torrent e php: ho fatto alcune paginette con cui comando i termosifoni attraverso dei relè ecc ecc (non serve entrare nel dettaglio).
a questo server accedo via ssh.
Mi succede questo: ogni tanto nella cartella home trovo dei nome utenti strani tipo sm0ke, lenin... inoltre su / oggi ho trovato dei file con nomi tipo 2203.rar 2204.rar ecc ecc più uno che si chiamava fuckyou che ovviamente ho prontamente eliminato.

che cavolo succede? come posso debellare la cosa?

il problema è che non riesco nemmeno a cambiare la password: se digito passwd, anche come utente root, mi esce sempre l' errore manipolazione Token di autenticazione.

Può esserci qualche daemon malevolo che gira in background?

Grazie a chi mi può aiutare. Ho fatto un sacco di script e mi secca doverlo "formattare"

[carved top]

Ammetto di essere totalmente ignorante in materia, ma gli script inizierei a salvarli da qualche altra parte per formattare senza problemi e per non perderli in futuro.... giusto i miei due cent, buona fortuna

[tunnel_net]

Hai un modem router ? UPnP è abilitato o no ?
(Sul raspbery non so nulla, di come entrare bypassando la password per recuperarlo)

[scindypaul]

Hai un modem router ? UPnP è abilitato o no ?
(Sul raspbery non so nulla, di come entrare bypassando la password per recuperarlo)

router ma per poter accedere via ssh ho la porta 22 aperta sull'ip del raspberry.
beh di sicuro tolgo la scheda di memoria (sd) la metto sul pc e con chroot cambio la password. ma c'è il rischio che ci sia del malware in esecuzione?

[scindypaul]

Ammetto di essere totalmente ignorante in materia, ma gli script inizierei a salvarli da qualche altra parte per formattare senza problemi e per non perderli in futuro.... giusto i miei due cent, buona fortuna

si si quelli sono salvati, il problema è il dover riconfigurare tutto, cron, rimettere in piedi il server web ecc ecc ci vogliono delle ore, e dovendolo comandare via ssh (da telefonino per comodità) diventa noioso

[tunnel_net]

Controlla nei posti canonici da dove si possono far partire applicazioni /etc/rc.local /etc/profile, visto che ti ha lasciato dei file controlla le date e fai una ricerca del disco per file in quel giorno.

La mia domanda era se sul router avevi UPnP attivo, se poi hai la 22 aperta se usi le key invece della password è meglio.

[scindypaul]

mi hai dato una buona idea! adesso faccio quel tipo di ricerca!
UPnP dovrebbe essere attivo, mi conviene disattivarlo?
perdonami non so cosa sia il discorso delle key al posto delle password

[xavier77]

Ok, UPnP, ftp, DLNA ecc. Quindi il server è solo per uso domestico? O lo usi anche per condividere file ecc. da remoto con la rete esterna?

Nel primo caso io comincerei a controllare anche i settaggi del router.
Premettendo che sono anch'io ignorante nello specifico, è sempre bene:
1. Cambiare i dns dal router stesso
2. Verificare che il firmware sia aggiornato
3. Cambiare la password (mai lasciare quelle predefinite, tipo admin/admin!)
4. Gestire le ACL in modalità LAN e non WAN, per impedire modifiche dall'esterno
5. puoi facilmente vedere se il tuo router è bucabile facendo un test da qui: http://rom-0.cz/

Magari, ci avevi già pensato e non ti dico nulla di nuovo...
Fatto sta che in pochissimi lo fanno.

[tunnel_net]

Quando ti colleghi in ssh tu digiti una password, è possibile invece generare una coppia di chiavi crittografate, una va sul server e l'altra sul client e quando ti colleghi non metti password in quanto viene usata la chiave installata.

UPnP su un router vuol dire autorizzare qualunque programma a forwardare autonomamente le porte del router.
Considerando che entrando in ssh sul raspberry, da li andare sul router è facile, io un reset del router lo farei

[xavier77]

Considerando che entrando in ssh sul raspberry, da li andare sul router è facile, io un reset del router lo farei

Giustissimo.
Scusa! Ho dimenticato di scrivere pure questo prima!