Sessione cloud: Google CLoud GCP. Sospetti log di connessioni

Networking, configurazione della connessione, periferiche e condivisioni di rete.
Avatar utente
DoctorStrange
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 2854
Iscrizione: mercoledì 14 ottobre 2015, 9:33
Desktop: Gnome3
Distribuzione: Ubuntu 22.04 LTS Jammy Jellyfish
Sesso: Maschile
Località: Roma, Italia

Sessione cloud: Google CLoud GCP. Sospetti log di connessioni

Messaggio da DoctorStrange »

Buonasera a tutti.

Utilizzo molto spesso i servizi cloud di Google. In particolare ho una sessione di Compute Engine, che ha una sessione Ubuntu senza grafica, che uso per sviluppare e collaudare alcuni codici.
Controllando i log di sistema, in particolare /var/log/auth.log ho un'enorme quantità di connessioni sospette, che il log traccia in questo modo:

Codice: Seleziona tutto

Jun 26 13:55:49 server-gcp-28-aprile-2021 sshd[3532]: Connection closed by invalid user telecomadmin 42.113.184.59 port 27322 [preauth]
Jun 26 13:55:56 server-gcp-28-aprile-2021 sshd[3561]: Invalid user telecomadmin from 42.113.184.59 port 58407
Jun 26 13:55:56 server-gcp-28-aprile-2021 sshd[3561]: Connection closed by invalid user telecomadmin 42.113.184.59 port 58407 [preauth]
Jun 26 13:56:03 server-gcp-28-aprile-2021 sshd[3563]: Invalid user telecomadmin from 42.113.184.59 port 19473
Jun 26 13:56:04 server-gcp-28-aprile-2021 sshd[3563]: Connection closed by invalid user telecomadmin 42.113.184.59 port 19473 [preauth]
Jun 26 13:56:11 server-gcp-28-aprile-2021 sshd[5956]: Invalid user telecomadmin from 42.113.184.59 port 49660
Jun 26 13:56:11 server-gcp-28-aprile-2021 sshd[5956]: Connection closed by invalid user telecomadmin 42.113.184.59 port 49660 [preauth]
Io mi connetto a questa istanza tramite una chiave RSA che ho generato, e la chiave puubblica si trova sulla sessione remota GCP.

A questo punto la mia domanda è: tutti questi record appartenenti a questo log, tracciano semplicemente le mie connessioni, oppure esiste un'utenza fittizia che non conosco, che si chiama "telecomadmin", che tenta di entrarmi nella sessione remota?

Il mio sospetto è dovuto al fatto che questa utenza, è completamente sconosciuta. Mai sentita, ed io sicuramente non l'ho mai creata.

Il mio sospetto è che, magari, qualche servizio di tracciamento o di marketing rilevi le mie connessioni all'istanza remota, e tenti di stabilirne anche lui, a scopo di profilazione, o tracciamento, ma mi sembra un po debole come ipotesi.

Qualcuno di voi usa questi servizi? Sa cosa potrebbe essere?

Grazie mille.
Avatar utente
Filoteo
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1318
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: Sessione cloud: Google CLoud GCP. Sospetti log di connessioni

Messaggio da Filoteo »

DoctorStrange ha scritto:
sabato 26 giugno 2021, 16:03
A questo punto la mia domanda è: tutti questi record appartenenti a questo log, tracciano semplicemente le mie connessioni, oppure esiste un'utenza fittizia che non conosco, che si chiama "telecomadmin", che tenta di entrarmi nella sessione remota?

I login effettuati con successo sono registrati con la dicitura Accepted publickey/password for nome_utente from indirizzo_ip port porta, quelli invece sono tentativi falliti. La persona o il bot che vuole accedere puo scegliere l'utente che vuole, ma ovviamente funzionerà solo se quell'utente esiste ed è autorizzato.
DoctorStrange ha scritto:
sabato 26 giugno 2021, 16:03
Il mio sospetto è che, magari, qualche servizio di tracciamento o di marketing rilevi le mie connessioni all'istanza remota, e tenti di stabilirne anche lui, a scopo di profilazione, o tracciamento, ma mi sembra un po debole come ipotesi.

Questo ipotetico servizio di tracciamento starebbe compiendo un accesso abusivo a sistema informatico secondo la legge Italiana.
Avatar utente
DoctorStrange
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 2854
Iscrizione: mercoledì 14 ottobre 2015, 9:33
Desktop: Gnome3
Distribuzione: Ubuntu 22.04 LTS Jammy Jellyfish
Sesso: Maschile
Località: Roma, Italia

Re: Sessione cloud: Google CLoud GCP. Sospetti log di connessioni

Messaggio da DoctorStrange »

Le connessioni sembrano sempre arrivare dallo stesso IP. Credi che sia il caso che io metta una regola firewall che blocchi quell'IP su tutte le porte?
Avatar utente
Filoteo
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1318
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: Sessione cloud: Google CLoud GCP. Sospetti log di connessioni

Messaggio da Filoteo »

Sì oppure cambi la porta dell'SSH con una casuale. Questo non aumenta la sicurezza ma i bot di solito prendono di mira solo le porte comuni.
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17342
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: Sessione cloud: Google CLoud GCP. Sospetti log di connessioni

Messaggio da Stealth »

E comunque il più ovvio dei whois mi dice che quell'indirizzo è di Hanoi, in vietnam.
Avatar utente
DoctorStrange
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 2854
Iscrizione: mercoledì 14 ottobre 2015, 9:33
Desktop: Gnome3
Distribuzione: Ubuntu 22.04 LTS Jammy Jellyfish
Sesso: Maschile
Località: Roma, Italia

Re: Sessione cloud: Google CLoud GCP. Sospetti log di connessioni

Messaggio da DoctorStrange »

Scusate se riprendo questa mia discussione un po vecchia.
Tenendo d'occhio i log degli accessi alla mia istanza, ora i tentativi di accesso fraudolento, cominciano a diventare preoccupanti.

Ho sviluppato una piccola applivcazione che mi estrae i log degli accessi da "/var/log/auth.log" e li aggiunge ad una
tabella che ho creato su mysql.

Ecco la tabella aggiornata a ieri.

https://pastebin.ubuntu.com/p/xW7nv72NxQ/

Ci sono piu di 600 tentativi di accesso.

Considerate le utenze con le quali provano ad accedere, e che gli ip distinti sono pochi, sono quasi certo che sia qualche script che tenta un accesso in forza bruta, sperando di trovare un varco disponibile, tentando varie combinazioni di utenze ed ip.

Al momento ho bloccato selettivamente tutti questi IP, ma non credo che sia una soluzione nel lungo periodo, bloccare manualmente.

Avevo pensato di realizzare uno script che, ad intervalli regolari estragga queste letture e componga le nuove regole del firewall per escludere di volta in volta gli IP che portano questi attacchi, ma il dubbio a questo punto diventerebbe: come faccio a sapere se qualcuno di questi ip è relamente legittimo?

Voi come vi organizzate sui vostri sistemi?

Come bloccate questi accessi?

Grazie.
Avatar utente
Filoteo
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1318
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: Sessione cloud: Google CLoud GCP. Sospetti log di connessioni

Messaggio da Filoteo »

DoctorStrange ha scritto:
venerdì 9 luglio 2021, 19:56
Ci sono piu di 600 tentativi di accesso.

600 tentativi in 10 giorni sono pochissimi, averne migliaia al giorno è normale rumore di fondo di internet.
DoctorStrange ha scritto:
venerdì 9 luglio 2021, 19:56
come faccio a sapere se qualcuno di questi ip è relamente legittimo?

Intendi dire che per errore potresti bloccare un IP di un utente autorizzato?
DoctorStrange ha scritto:
venerdì 9 luglio 2021, 19:56
Come bloccate questi accessi?

Come ho scritto sopra, già cambiando la porta dell'SSH vedrai riduzione significativa dei tentativi. Oppure puoi installare una VPN come WireGuard e rendere il servizio SSH accessibile solo tramite essa.
Scrivi risposta

Ritorna a “Connessione e configurazione delle reti”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 6 ospiti