interpretazione file di log "secure"

**mondobimbi** · 27-04-2006, 12:33

ciao a tutti,
ho un piccolo problema riguardo alla interpretazione del log secure (in /var/log)
non riesco a capire se mi devo preoccupare o no

.....
Apr 26 19:57:11 81-174-49-117 sshd[9220]: Did not receive identification string from 140.123.76.227
Apr 26 20:13:12 81-174-49-117 sshd[15607]: Invalid user lpd from 140.123.76.227
Apr 26 20:13:15 81-174-49-117 sshd[15607]: Failed password for invalid user lpd from 140.123.76.227 port 46245 ssh2
Apr 26 20:13:24 81-174-49-117 sshd[15731]: Invalid user lpa from 140.123.76.227
Apr 26 20:13:26 81-174-49-117 sshd[15731]: Failed password for invalid user lpa from 140.123.76.227 port 46334 ssh2
Apr 26 21:31:39 81-174-49-117 sshd[29895]: Did not receive identification string from 203.194.70.100
Apr 27 00:32:32 81-174-49-117 sshd[15598]: Did not receive identification string from 211.157.104.19
Apr 27 00:54:41 81-174-49-117 sshd[16151]: Failed password for root from 211.157.104.19 port 37296 ssh2
Apr 27 07:45:45 81-174-49-117 xinetd[29861]: START: smtp pid=12051 from=127.0.0.1
Apr 27 07:46:40 81-174-49-117 xinetd[29861]: START: smtp pid=13736 from=127.0.0.1
Apr 27 07:52:15 81-174-49-117 xinetd[29861]: START: pop3 pid=22014 from=82.105.154.10
Apr 27 08:02:16 81-174-49-117 xinetd[29861]: START: pop3 pid=1589 from=82.105.154.10
Apr 27 08:12:16 81-174-49-117 xinetd[29861]: START: pop3 pid=16005 from=82.105.154.10
Apr 27 09:05:18 81-174-49-117 sshd[13350]: Failed password for root from 203.194.70.100 port 59710 ssh2
Apr 27 09:05:24 81-174-49-117 sshd[13441]: Failed password for root from 203.194.70.100 port 59755 ssh2

...... seguono altri tentativi su root

Apr 27 09:07:36 81-174-49-117 sshd[18148]: Failed password for root from 203.194.70.100 port 60761 ssh2

.... questo non capisco cosa vuol dire, mi devo preoccupare?

Apr 27 09:07:39 81-174-49-117 sshd[18204]: Address 203.194.70.100 maps to mail.dexagroup.com, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Apr 27 09:07:41 81-174-49-117 sshd[18204]: Failed password for root from 203.194.70.100 port 60806 ssh2
......

ciao, grazie a chi può darmi una mano ad interpretare

sergio

**marketto** · 27-04-2006, 15:10

ciao,
per il momento ti sposto su "linux".

**andy caps** · 27-04-2006, 20:34

sembrerebbe qualcuno che cerca di entrare con ssh e che sta provando un po di password di root

203.194.70.100 corrisponde a un sever di tokio

inetnum: 203.194.70.96 - 203.194.70.111
netname: IDINTDXM
country: ID
descr: Jl. TB Simatupang 1B Graha Elnusa 5th Floor
descr: Pharmacy
admin-c: AI43-AP
tech-c: AI43-AP
status: ASSIGNED NON-PORTABLE
changed: Haruko.Takarabe@ap.att.com 20050517
mnt-by: MAINT-AP-OPENNET
source: APNIC

role: AGNS INTCUST
address: Shinnikko-Building, 2-10-1,
address: Toranomon, Minato-ku,
address: TOKYO, 105-0001, Japan
country: JP
phone: +81-3-3584-6885
fax-no: +81-3-3505-1771
e-mail: ABUSEIC@jp.att.com
trouble: Send Spam or abuse report to ABUSEIC@jp.att.com
trouble: and Please include detailed information and time
admin-c: MH27-AP
tech-c: NS194-AP
nic-hdl: AI43-AP
remarks:
notify: Naoko.Sensui@jp.att.com
mnt-by: MAINT-JP-NEWNS
changed: Naoko.Sensui@jp.att.com 20060306
source: APNIC

andy:~#

se non usi ssh meglio disattivarlo o configurarlo solo per ip sicuri secondo me

**mondobimbi** · 28-04-2006, 07:42

grazie,
disattivarlo non è possibile perchè è l'unico controllo che ho sulla macchina, che è remota.
Come posso configurare ssh perchè accetti solamente determinati ip?
Posso inibire tutti gli accessi come root (io poi mi loggo come utente e entro in root con "su") e abilitare un unico utente?
ciao
sergio

**mondobimbi** · 28-04-2006, 10:25

per l'accesso a root sono andato in /etc/ssh
ed ho editato il file sshd_config
inserendo la direttiva
PermitRootLogin no

non so se basta
ciao
sergio

Discussione: interpretazione file di log "secure"

Strumenti discussione

Ricerca discussione

Visualizza

log secure

Permessi di invio