Port forwarding / tentativo di accesso

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, ecc.

Port forwarding / tentativo di accesso

Messaggioda principi ante63 » sabato 4 febbraio 2017, 17:58

Buongiorno,
ho un piccolo quesito da sottoporre.
Da tempo su un desktop UBUNTU ho attivato VINO (VNC ?), con password mediamente sicura, naturalmente ho dovuto fare l'apertura della porta 5900 sul router con ridirezione sul desktop.
Ci ho fatto alcuni accessi, poi me lo sono dimenticato.
Oggi casualmente ho aperto il file di log del router ed ho notato che ogni minuto un indirizzo IP esterno faceva accesso due o tre volte alla porta.
Non ho davanti il file di log ma più o meno diceva:
accesso da 123.456.789.101:6400 a 10.0.0.13:5900 alle ore 13:00
accesso da 123.456.789.101:7300 a 10.0.0.13:5900 alle ore 13:01

Ho disattivato il port forwarding ed ovviamente gli accessi sono cessati, ma mi chiedo cosa stava succedendo, perché la porta dell'intruso cambiava sempre, erano tentativi di accesso o era già "dentro".
Grazie mille per le eventuali risposte.
Francesco
principi ante63
Prode Principiante
 
Messaggi: 2
Iscrizione: febbraio 2017

Re: Port forwarding / tentativo di accesso

Messaggioda thece » domenica 5 febbraio 2017, 20:27

:ciao:

da quello che hai riportato si può solamente desumere che ci sono stati dei tentativi di accesso al tuo server VNC, non che siano avvenuti con successo o insuccesso. Occorrerebbe guardare il log (/var/log/syslog)

Nell'immediato ti direi di:

- cambiare la password di accesso al servizio VNC
- provare a proteggere il servizio VNC dall' "attacco a forza bruta" con fail2ban
Avatar utente
thece
Rampante Reduce
Rampante Reduce
 
Messaggi: 7460
Iscrizione: aprile 2007
Distribuzione: Debian 9 (Stretch) - KDE

Re: Port forwarding / tentativo di accesso

Messaggioda principi ante63 » domenica 5 febbraio 2017, 20:54

Grazie thece,
per il momento ho disattivato VINO e sospeso il port forwarding, domani verifico il file /var/log/syslog, e poi mi studio cosa è fail2ban :-)
Il PC in questione è usato solo per andare su internet a guardare l'oroscopo, chi lo ha attaccato non aveva niente di meglio da fare.
Ho salvato l'IP dell'intruso (che sarà anche su syslog), non che serva a molto ma magari provo a vedere da dove arriva.
principi ante63
Prode Principiante
 
Messaggi: 2
Iscrizione: febbraio 2017

Re: Port forwarding / tentativo di accesso

Messaggioda trekfan1 » lunedì 6 febbraio 2017, 9:20

Ti consiglio anche di cambiare la porta di VNC, in questo caso per l'accesso dovrai aggiungere :numeroporta, esempio:
Codice: Seleziona tutto
tuoip:numeroporta
Avatar utente
trekfan1
Moderatore Globale
Moderatore Globale
 
Messaggi: 15804
Iscrizione: maggio 2006
Località: Formigine (MO) | Tenace Tecnocrate
Desktop: Unity/Gnome Shell
Distribuzione: Ubuntu 17.04 e 17.10 (dev) 64 bit
Sesso: Maschile


Torna a Sicurezza

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 2 ospiti