Tentato accesso via SSH

[nobadguy]

Ciao a tutti...
logcheck mi invia questi log:

codice:

Dec 19 08:03:27 vps sshd[16196]: Invalid user test from 202.96.1.11
Dec 19 08:03:27 vps sshd[16196]: (pam_unix) check pass; user unknown
Dec 19 08:03:27 vps sshd[16196]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.96.1.11
Dec 19 08:03:28 vps sshd[16197]: Invalid user test from 202.96.1.11
Dec 19 08:03:28 vps sshd[16197]: (pam_unix) check pass; user unknown
Dec 19 08:03:28 vps sshd[16197]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.96.1.11
Dec 19 08:03:28 vps sshd[16196]: Failed password for invalid user test from 202.96.1.11 port 47713 ssh2
Dec 19 08:03:30 vps sshd[16197]: Failed password for invalid user test from 202.96.1.11 port 47716 ssh2
Dec 19 08:03:33 vps sshd[16200]: Invalid user guest from 202.96.1.11
Dec 19 08:03:33 vps sshd[16200]: (pam_unix) check pass; user unknown
Dec 19 08:03:33 vps sshd[16200]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.96.1.11
Dec 19 08:03:34 vps sshd[16202]: Invalid user guest from 202.96.1.11
Dec 19 08:03:34 vps sshd[16202]: (pam_unix) check pass; user unknown
Dec 19 08:03:34 vps sshd[16202]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.96.1.11
Dec 19 08:03:35 vps sshd[16200]: Failed password for invalid user guest from 202.96.1.11 port 47844 ssh2
Dec 19 08:03:36 vps sshd[16202]: Failed password for invalid user guest from 202.96.1.11 port 47821 ssh2

Si tratta evidentemente di una serie di tentativi di login via SSH.
Io però vorrei sapere quali porte ci sono aperte, con nmap quali opzioni devo dare?

[Habanero]

se hai accesso diretto alla shell del server, nmap è assolutamente inutile.... molto meglio un semplice netstat:

elenca i server in ascolto (LISTENING) per i protocollu tcp e udp:
netstat -tunl

elenca le connessioni attualmente stabilite (ESTABLISHED) (TCP+UDP)
netstat -tun

elenca le connessioni attualmente stabilite e i server in ascolto (TCP+UDP)
netstat -tuna


ho dato per scontato che tu sia su un sistema linux.

[nobadguy]

si, ho visto...
grazie...

PS credo che faro un portknocking...

questi log cosa indicano?

codice:

Dec 21 03:40:43 vps sshd[31443]: Invalid user rfmngr from 202.53.76.66
Dec 21 03:40:43 vps sshd[31444]: Invalid user rfmngr from 202.53.76.66
Dec 21 03:40:43 vps sshd[31443]: reverse mapping checking getaddrinfo for 202.53.76.66.nettlinx.com failed - POSSIBLE BREAK-IN ATTEMPT!
Dec 21 03:40:43 vps sshd[31443]: (pam_unix) check pass; user unknown
Dec 21 03:40:43 vps sshd[31443]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.53.76.66
Dec 21 03:40:43 vps sshd[31444]: reverse mapping checking getaddrinfo for 202.53.76.66.nettlinx.com failed - POSSIBLE BREAK-IN ATTEMPT!
Dec 21 03:40:43 vps sshd[31444]: (pam_unix) check pass; user unknown
Dec 21 03:40:43 vps sshd[31444]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.53.76.66
Dec 21 03:40:45 vps sshd[31443]: Failed password for invalid user rfmngr from 202.53.76.66 port 45808 ssh2
Dec 21 03:40:45 vps sshd[31444]: Failed password for invalid user rfmngr from 202.53.76.66 port 45836 ssh2
Dec 21 03:40:47 vps sshd[31448]: Invalid user sales from 202.53.76.66
Dec 21 03:40:47 vps sshd[31448]: reverse mapping checking getaddrinfo for 202.53.76.66.nettlinx.com failed - POSSIBLE BREAK-IN ATTEMPT!
Dec 21 03:40:47 vps sshd[31448]: (pam_unix) check pass; user unknown
Dec 21 03:40:47 vps sshd[31448]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.53.76.66
Dec 21 03:40:47 vps sshd[31447]: Invalid user sales from 202.53.76.66
Dec 21 03:40:47 vps sshd[31447]: reverse mapping checking getaddrinfo for 202.53.76.66.nettlinx.com failed - POSSIBLE BREAK-IN ATTEMPT!
Dec 21 03:40:47 vps sshd[31447]: (pam_unix) check pass; user unknown
Dec 21 03:40:47 vps sshd[31447]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.53.76.66
Dec 21 03:40:49 vps sshd[31448]: Failed password for invalid user sales from 202.53.76.66 port 46371 ssh2
Dec 21 03:40:50 vps sshd[31447]: Failed password for invalid user sales from 202.53.76.66 port 46370 ssh2
...
...
Dec 21 03:50:46 vps sshd[31447]: fatal: Timeout before authentication for 202.53.76.66
Dec 21 03:50:46 vps sshd[31448]: fatal: Timeout before authentication for 202.53.76.66

In particolare, cosa significano i due timeout?

[Habanero]

il timeout suppongo significhi che l'utente si è collegato alla porta 22 (SSH) ma poi non ha introdotto user e pass nel tempo utile. Il server ha quindi resettato la connessione.

Per quanto riguarda le altre voci direi che sono tutte autoesplicative tranne forse la "reverse mapping checking getaddrinfo". In pratica il server tenta di fare un name lookup sul nome dns della macchina che si collega, ma il DNS non lo risolve. Ad esempio:

Dec 21 03:40:43 vps sshd[31443]: reverse mapping checking getaddrinfo for 202.53.76.66.nettlinx.com failed - POSSIBLE BREAK-IN ATTEMPT!

La macchina avente ip 202.53.76.66 si è collegata al server ssh. Una query DNS inversa fornisce per quell'ip il nome 202.53.76.66.nettlinx.com. Ma una query diretta per 202.53.76.66.nettlinx.com non fornisce l'ip di partenza o non fornisce nulla.

Questo puo' essere segno che qualcuno stia falsificando il proprio nome. La zona di reverse è infatti falsificabile... se avessi un DNS mio potrei far si che una query inversa per il mio ip restituisca ad esempio il dominio microsoft.com . La zona diretta non è falsificabile invece... facendo una verifica diretta e poi inversa posso vedere se ci sono discrepanze.

In realtà la cosa non è matematica e quell'errore non significa che c'è stato sicuramente un tentativo di falsificazione. Per l'ip indicato ad esempio, il nome semplicemente non viene risolto in IP... da qui l'errore... sicuramente a causa del provider.

Se vuoi eliminare tale check da parte di SSH basta che nel file di configurazione imposti UseDNS a NO. Il default è YES .
http://www.hmug.org/man/5/sshd_config.php

[nobadguy]

Il Timeout, può anche essere causato da fail2ban che non consente più l'autenticazione?

[nobadguy]

oggi poi mi trovo queste righe nei log:

Dec 22 04:14:43 vps vm-pop3d[7272]: Socket closed from 83.3.65.254
Dec 22 04:14:46 vps vm-pop3d[6969]: Socket closed from 83.3.65.254

Caz.. vuol dire??

Le trovo in mail.err, mail.log, mail.warn, mail.info e syslog.0, non riesco a trovare nulla su internet circa questo messaggio...
Questo IP non è usato da nessun utente nei log...

[Habanero]

dalle FAQ di virtualmail-pop3d:

What does "Socket closed" log message mean?

Basically, this means that the POP3 session was not properly closed.
Probably the POP3 client did not send a QUIT command. This is common
with Outlook and Outlook Express. A similar message from another POP3
server is: "-ERR POP EOF or I/O Error".

Il pratica il client ha chiuso la connessione senza inviare il comando QUIT al server POP3.


http://www.reedmedia.net/software/virtualmail-pop3d/FAQ

[Habanero]

Originariamente inviato da nobadguy
Il Timeout, può anche essere causato da fail2ban che non consente più l'autenticazione?

sinceramente non ne ho idea...

[nobadguy]

Originariamente inviato da Habanero
dalle FAQ di virtualmail-pop3d:



Il pratica il client ha chiuso la connessione senza inviare il comando QUIT al server POP3.


http://www.reedmedia.net/software/virtualmail-pop3d/FAQ

Ok, se quall'IP fosse di un utente che si è collegato..
Ma l'ip è presente solo in quella voce a quell'ora!