Buongiorno,
ho un piccolo quesito da sottoporre.
Da tempo su un desktop UBUNTU ho attivato VINO (VNC ?), con password mediamente sicura, naturalmente ho dovuto fare l'apertura della porta 5900 sul router con ridirezione sul desktop.
Ci ho fatto alcuni accessi, poi me lo sono dimenticato.
Oggi casualmente ho aperto il file di log del router ed ho notato che ogni minuto un indirizzo IP esterno faceva accesso due o tre volte alla porta.
Non ho davanti il file di log ma più o meno diceva:
accesso da 123.456.789.101:6400 a 10.0.0.13:5900 alle ore 13:00
accesso da 123.456.789.101:7300 a 10.0.0.13:5900 alle ore 13:01
Ho disattivato il port forwarding ed ovviamente gli accessi sono cessati, ma mi chiedo cosa stava succedendo, perché la porta dell'intruso cambiava sempre, erano tentativi di accesso o era già "dentro".
Grazie mille per le eventuali risposte.
Francesco
Port forwarding / tentativo di accesso
-
- Prode Principiante
- Messaggi: 2
- Iscrizione: sabato 4 febbraio 2017, 16:30
- thece
- Tenace Tecnocrate
- Messaggi: 12943
- Iscrizione: lunedì 23 aprile 2007, 14:16
- Distribuzione: Debian 12 (Bookworm) - KDE
Re: Port forwarding / tentativo di accesso
da quello che hai riportato si può solamente desumere che ci sono stati dei tentativi di accesso al tuo server VNC, non che siano avvenuti con successo o insuccesso. Occorrerebbe guardare il log (/var/log/syslog)
Nell'immediato ti direi di:
- cambiare la password di accesso al servizio VNC
- provare a proteggere il servizio VNC dall' "attacco a forza bruta" con fail2ban
-
- Prode Principiante
- Messaggi: 2
- Iscrizione: sabato 4 febbraio 2017, 16:30
Re: Port forwarding / tentativo di accesso
Grazie thece,
per il momento ho disattivato VINO e sospeso il port forwarding, domani verifico il file /var/log/syslog, e poi mi studio cosa è fail2ban :-)
Il PC in questione è usato solo per andare su internet a guardare l'oroscopo, chi lo ha attaccato non aveva niente di meglio da fare.
Ho salvato l'IP dell'intruso (che sarà anche su syslog), non che serva a molto ma magari provo a vedere da dove arriva.
per il momento ho disattivato VINO e sospeso il port forwarding, domani verifico il file /var/log/syslog, e poi mi studio cosa è fail2ban :-)
Il PC in questione è usato solo per andare su internet a guardare l'oroscopo, chi lo ha attaccato non aveva niente di meglio da fare.
Ho salvato l'IP dell'intruso (che sarà anche su syslog), non che serva a molto ma magari provo a vedere da dove arriva.
- trekfan1
- Moderatore Globale
- Messaggi: 23381
- Iscrizione: domenica 21 maggio 2006, 10:51
- Desktop: Gnome
- Distribuzione: Ubuntu 23.10 e 24.04 (dev)
- Sesso: Maschile
- Località: Formigine (MO) | Accecante Asceta
Re: Port forwarding / tentativo di accesso
Ti consiglio anche di cambiare la porta di VNC, in questo caso per l'accesso dovrai aggiungere :numeroporta, esempio:
Codice: Seleziona tutto
tuoip:numeroporta
Regolamento del Forum Il forum di StarTrek in italia Gruppo Seti Script per il [Risolto] Rufus Multiboot Linux/Linux Seriale Win8/8.1/10 da Linux PPA amule 20.04
Da Regolamento è VIETATO chiedere supporto con i messaggi privati!!
Da Regolamento è VIETATO chiedere supporto con i messaggi privati!!
Chi c’è in linea
Visualizzano questa sezione: 0 utenti iscritti e 10 ospiti