Port forwarding / tentativo di accesso

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
principi ante63
Prode Principiante
Messaggi: 2
Iscrizione: sabato 4 febbraio 2017, 16:30

Port forwarding / tentativo di accesso

Messaggio da principi ante63 »

Buongiorno,
ho un piccolo quesito da sottoporre.
Da tempo su un desktop UBUNTU ho attivato VINO (VNC ?), con password mediamente sicura, naturalmente ho dovuto fare l'apertura della porta 5900 sul router con ridirezione sul desktop.
Ci ho fatto alcuni accessi, poi me lo sono dimenticato.
Oggi casualmente ho aperto il file di log del router ed ho notato che ogni minuto un indirizzo IP esterno faceva accesso due o tre volte alla porta.
Non ho davanti il file di log ma più o meno diceva:
accesso da 123.456.789.101:6400 a 10.0.0.13:5900 alle ore 13:00
accesso da 123.456.789.101:7300 a 10.0.0.13:5900 alle ore 13:01

Ho disattivato il port forwarding ed ovviamente gli accessi sono cessati, ma mi chiedo cosa stava succedendo, perché la porta dell'intruso cambiava sempre, erano tentativi di accesso o era già "dentro".
Grazie mille per le eventuali risposte.
Francesco
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Port forwarding / tentativo di accesso

Messaggio da thece »

:ciao:

da quello che hai riportato si può solamente desumere che ci sono stati dei tentativi di accesso al tuo server VNC, non che siano avvenuti con successo o insuccesso. Occorrerebbe guardare il log (/var/log/syslog)

Nell'immediato ti direi di:

- cambiare la password di accesso al servizio VNC
- provare a proteggere il servizio VNC dall' "attacco a forza bruta" con fail2ban
principi ante63
Prode Principiante
Messaggi: 2
Iscrizione: sabato 4 febbraio 2017, 16:30

Re: Port forwarding / tentativo di accesso

Messaggio da principi ante63 »

Grazie thece,
per il momento ho disattivato VINO e sospeso il port forwarding, domani verifico il file /var/log/syslog, e poi mi studio cosa è fail2ban :-)
Il PC in questione è usato solo per andare su internet a guardare l'oroscopo, chi lo ha attaccato non aveva niente di meglio da fare.
Ho salvato l'IP dell'intruso (che sarà anche su syslog), non che serva a molto ma magari provo a vedere da dove arriva.
Avatar utente
trekfan1
Moderatore Globale
Moderatore Globale
Messaggi: 23381
Iscrizione: domenica 21 maggio 2006, 10:51
Desktop: Gnome
Distribuzione: Ubuntu 23.10 e 24.04 (dev)
Sesso: Maschile
Località: Formigine (MO) | Accecante Asceta

Re: Port forwarding / tentativo di accesso

Messaggio da trekfan1 »

Ti consiglio anche di cambiare la porta di VNC, in questo caso per l'accesso dovrai aggiungere :numeroporta, esempio:

Codice: Seleziona tutto

tuoip:numeroporta
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 10 ospiti