Luigi di Lazzaro ha scritto:Non permetttere l'accesso a root via ssh. C'e' un'apposita opzione nel file di configurazione /etc/sshd_configpac ha scritto: Dopo aver eliminato tutto e cambiata porta ssh questa mattina ho scoperto nuova violazione. Il log dice Jul 8 08:04:58 sshd[23885]: Accepted password for root from 79.33.45.194 port 40063 ssh2 Jul 8 08:04:59 arpaca sshd(pam_unix)[23885]: session opened for user root by (uid=0) Allora la porta che ho cambiato non la 40063 e comunque questa non è aperta nel router x ssh, anzi non è aperta per nulla. Quindi volevo sapere cosa è successo secondo voi e come fare ?PermitRootLogin no di default e' su yes Luigi
Completo scrivendo che un bel chkrootkit , rkhunter, fcheck, un bel giro con clamav, un bel netstat -putan per vedere cosa c'è che ascolta dovrebbe bastare :) magari guardati anche la history dei comandi per sapere cosa sta facendovisto che molto intelligentemente chi accede al server non si premura di cancellare
i log