tentativi di ssh

[mous16]

Ho appena finito di mettere a posto syslog-ng sulla mia gentoo, quand'ecco che guardando i log di ssh, vedo numerosi tentativi di connessioni da parte di una certa serie di indirizzi...
Sto spulciando i log indietro nei gironi, ma mi pare che nessuno sia riuscito ad aprire una sessione (e ci mancherebbe pure), ma la domanda è: perchè così tanti host provano a connettersi al mio pc? come fanno a sapere il mio ip, e che su questa macchina c'è un server ssh? e poi perchè?
tra i tanti che semplicemnete hanno aperto una connessione, senza nemmeno provare il login, mi ha stupito uno che s'è pure messo a provare nomi  utente comuni, tipo plugdev, game, e via dicendo... come la devo pensare?

[mr.chaka]

Non é che tutti hanno tempo da perdere per pensare a te, almeno chi é cosi c******e che non vale neanche la pena perdere tempo descrivere...

Puó essere che il tuo sistema logga qualsiasi teentativo, ma non credo che ci sia una guerra scatenata contro di te... Cmq, credo che Gentoo abbia un forum piu appropriato alla distro, (ti faccio i complimenti per la voglia di configurarla etc etc, ma non credo che questo sia il forum adatto...  (b2b) ) pero ti dico che io allo stesso tempo con il mio firewall tengo log di connessioni che neanche io conosco...

Ps: Hai torrent, a che siti ti connetti, cosa fai con internet??

(b2b)

[Spiros]

Solo noi gentooiani possiamo dire "stavo leggendo per caso il log di ssh..."... come se dicessimo "stavo leggendo il giornale...". Come se leggere i megabyte di log generati automaticamente dal nostro sistema costituiscano una fonte di interesse pari al quotidiano del mattino.  (rotfl)

Mi sembra un tipo di attacco un po' strano... Chi diamine potrebbe perdere tempo a tentare di accedere tramite ssh ad un server in cui molto probabilmente non riuscirà mai ad entrare, fosse anche con un utente come plugdev che non ha grandi possibilità? Tra l'altro, plugdev e games non sono solo dei gruppi? O sono anche utenti? Ad ogni modo è strano. Per curiosità: sei dietro un router? Come vengono passate le porte dell'host esposto a quelli interni?

[mr.chaka]

Usi Gentoo e vieni a chiedere aiuto su un forum Ubuntu???????????vedi tu allora... Se hai problemi con ssh ok, (sono le 2.11 di mattino e torno da una cena,  (b2b) , scusa) impara ad usare iptables ed a usare il sistema.. Io non avrei chiesto piuttosto..
Ciao.

perchè così tanti host provano a connettersi al mio pc?

Hai un server? Tentano di connetersi tramite ssh??? Vedi tu.. Hai installato un server ssh sul tuo sistema?? (rotfl) Indaga..

PS: Non voglio essere offensivo.. Se non ci siamo capiti ci chiariremo.

[mous16]

no, capisco di non essermi spiegato bene: non ho nessun problema con gentoo ed ssh; questo secondo è configurato a dovere, e non permette accessi indesiderati.
Si, sono dietro a un router, che inoltra le connessioni sulla 22 (ma anche su altre porte) al mio pc, sul quale, quando è acceso, gira un server ssh, che uso per accedere da remoto di tanto in tanto.

Scrivevo qui perché è una comunità che conosco, e perché non stato chiedendo consigli tecnici, ma un parere su come la vedete voi...
In casa siamo in 4 ad usare internet, da diversi computer (linux e windows), ma direi che più di normale routine non venga fatta: web, posta... Penso che nessuno tra l'altro usi software di p2p, ma non posso giurarci.
All'interno della lan poi abbiamo anche dei server upnp, dai quali non si può accedere da fuori.

[Starless]

perchè così tanti host provano a connettersi al mio pc? come fanno a sapere il mio ip, e che su questa macchina c'è un server ssh? e poi perchè?

E' normale. Ci sono dei software fatti appositamente per cercare vulnerabilità in modo totalmente randomica su tutta la rete Internet. Vengono usati da quelli che hanno il piacere di "bucare" PC altrui. Ovvio che i server conosciuti come SSH su porta 22, FTP su porta 21, TELNET su porta 23, ecc.... sono i primi ad essere scansionati.

tra i tanti che semplicemnete hanno aperto una connessione, senza nemmeno provare il login, mi ha stupito uno che s'è pure messo a provare nomi  utente comuni, tipo plugdev, game, e via dicendo... come la devo pensare?

Si chiama attacco "brute force". Si basa su dizionari contenenti parole di uso comune.

Le soluzioni sono varie. Una ti è stata già data:

impara ad usare iptables

Un'altra soluzione più semplice è cambiare la porta del server SSH da 22 ad una porta più "alta" di 1024 visto che le prime 1024 sono di sistema.

[mous16]

ok, una risposta rincuorante era quello che speravo...
Iptables non so usarlo, ma non so se fa al caso mio: non so in anticipo da dove mi connetterò.
Mi limiterò a cambiare porta e disabilitare il login da tastiera...

[paper0k]

mous16 dovresti sapere che discussioni su altre distribuzioni non si fanno nelle sezioni di supporto... sposto al Bar

[Starless]

mous16 dovresti sapere che discussioni su altre distribuzioni non si fanno nelle sezioni di supporto... sposto al Bar

Mi permetto di contraddirti.

Il titolo è esplicativo. Si parla di Server SSH. Qualunque sia la distribuzione il risultato non cambia.

Tra l'altro è un problema conosciuto e credo che indipendentemente dalla distro sia importante esserne a conoscenza.

Non mi sembra una discussione da bar (IMHO).

[Elphio]

Quando tiro su una distro nuova (tipicamente debian) di solito installo come primo pacchetto "denyhosts"
In pratica con 3 tentativi falliti di login ssh questo viene messo in blacklist...

Poi ovviamnete niente accesso root a ssh

[mous16]

mi scuso, paper0k: ho riflettuto per stabilire dove metterla, ma sono arrivato alla conclusione di Starless; mi scuso se ho sbagliato sezione.

@Elphio: grazie per il consiglio, ora provo a guardare.
Vedo anche se è possibile farlo direttamente tramite configurazione di ssh, e magari solo per un certo tot di tempo...

[Stealth]

Ci sono macchine che pingano le porte tipicamente associate ai servizi più comuni. Io, sul mio server casalingo, ho cambiato la porta con cui ssh ascolta.....e i logs sono diventati meno popolati 
Volendo puoi addirittura tenerla sempre chiusa usando il portknocking, con cui bussi e apre solo a te. Se non lo conosci già e vuoi dargli un'occhiata, la guida è questa Sicurezza/PortKnocking
ciao

[paper0k]

Il titolo è esplicativo. Si parla di Server SSH. Qualunque sia la distribuzione il risultato non cambia.

Dai su Starless ... con questo ragionamento togliamo la scritta "Ubuntu" in alto e ci mettiamo "GNU/Linux"...