[Primipassi] log tentativi falliti ssh

Andrea Cataldi pischellinux@yahoo.it
Gio 8 Set 2005 12:16:03 CEST


Ciao David,
ti ringrazio della risposta. Mi sembrava di aver letto che "qualcosa" si
potesse fare, ma è successo tempo fa, e non ricordo neanche se si riferisse a
sessioni ssh.
Comunque se aveste dei suggerimenti o  sw alternativi che permettono di avere
maggiori info sui tentativi di connessione in ssh saranno bene accetti.

Sono d'accordo con la tua considerazione che molti "attacchi" sono fatti in
automatico, quasi per "gioco"(con tutte le evidenti conseguenze) ma, ad
esempio, una notte un host mi ha tenuto "sotto" quasi per 3 ore. Quindi sono
curioso di vedere che combinano, credo che sarebbe una bella esperienza.

Tra l'altro, senza sentirmi l'incarnazione del Giustiziere della Notte, vorrei
un consiglio su quali software usare per avere delle informazioni sugli host
"attaccanti".
Come ho gia detto, non c'è niente di "vendicativo" in qs mio atteggiamento. Ad
esempio oggi uno mi ha "puntato" per un pò e per curiosità con nmap ho provato
a vedere che servizi attivi aveva ed il suo S.O. (purtroppo è risultato
sconosciuto).

Ciao
Andrea



--- David Di Lorenzo <zaphod42@virgilio.it> ha scritto: 

> Non penso proprio che sia possibile tramite l'uso di ssh o poco più,
> perchè la connessione è criptata, e sebbene all'interno del tuo computer
> si trovino in chiaro le parole digitate, ssh (fortunatamente, direi) non
> ti permette di accederci. Penso che l'unica sia di riprogrammare ssh, se
> qualcuno non lo ha già fatto.
> 
> Comunque anche io ricevo parecchi attacchi dai soliti 4 o 5 ip, non so
> se il tuo caso è diverso ma penso siano computer infetti che provano a
> attaccare ip casuali con gli username più comuni e password uguale agli
> username.
> Ad esempio:
> 
> Sep  2 21:35:55 localhost sshd[17691]: Invalid user user from
> 213.140.247.119
> Sep  2 21:36:00 localhost sshd[17721]: Invalid user admin from
> 213.140.247.119
> Sep  2 21:36:02 localhost sshd[17726]: Invalid user test from
> 213.140.247.119
> Sep  2 21:36:14 localhost sshd[17757]: Invalid user danny from
> 213.140.247.119
> Sep  2 21:36:17 localhost sshd[17762]: Invalid user sharon from
> 213.140.247.119
> Sep  2 21:36:19 localhost sshd[17769]: Invalid user aron from
> 213.140.247.119
> Sep  2 21:36:21 localhost sshd[17774]: Invalid user alex from
> 213.140.247.119
> Sep  2 21:36:23 localhost sshd[17781]: Invalid user brett from
> 213.140.247.119
> Sep  2 21:36:25 localhost sshd[17786]: Invalid user mike from
> 213.140.247.119
> Sep  2 21:36:30 localhost sshd[17795]: Invalid user alan from
> 213.140.247.119
> Sep  2 21:36:32 localhost sshd[17800]: Invalid user data from
> 213.140.247.119
> Sep  2 21:36:34 localhost sshd[17807]: Invalid user www-data from
> 213.140.247.119
> 
> ...e avanti così per un bel po'
> 
> ciao
> David
> 
> Andrea Cataldi wrote:
> > Ciao,
> > 
> > E' possibile loggare cosa viene digitato da un utente quando cerca di
> loggarsi
> > tramite ssh?
> > 
> > Almeno una persona a notte cerca di provare ad entrare nel serverino che
> > "gestisco". Sarei curioso di vedere cosa provano, tra l'altro per cercare
> anche
> > di capire il grado di pericolosità dei tentativi.
> > 
> > Grazie
> > Andrea
> > 
> 
> 
> -- 
> Fingerprint=B412 8745 B817 7D51 C777 54AB 96CD 38A4 967F 70BF
> 
> > _______________________________________________
> FLUG primipassi con Linux - primipassi@firenze.linux.it
> Policy: http://www.firenze.linux.it/primipassi/policy_html
> URL: https://lists.firenze.linux.it/mailman/listinfo/primipassi
> Archivio:  http://lists.firenze.linux.it/pipermail/primipassi/
> Ricerca nell'archivio: http://www.firenze.linux.it/search
> 



	

	
		
___________________________________ 
Yahoo! Mail: gratis 1GB per i messaggi e allegati da 10MB 
http://mail.yahoo.it



Maggiori informazioni sulla lista primipassi