Re: Mi sono entrati dentro!

To: debian-italian <debian-italian@lists.debian.org>
Subject: Re: Mi sono entrati dentro!
From: Sandro Tosi <matrixhasu@gmail.com>
Date: Mon, 19 Sep 2005 23:15:26 +0200
Message-id: <8b2d7b4d050919141531bdf4d5@mail.gmail.com>
Reply-to: Sandro Tosi <matrixhasu@gmail.com>
In-reply-to: <457d677b050919135547e00640@mail.gmail.com>
References: <457d677b050919135547e00640@mail.gmail.com>

> >From auth.log:
> Sep 17 19:08:30 quijote sshd[28913]: Illegal user test from 219.113.213.21
> Sep 17 19:08:31 quijote sshd[28913]: error: Could not get shadow
> information for NOUSER
> Sep 17 19:08:31 quijote sshd[28913]: Failed password for illegal user
> test from 219.113.213.21 port 57839 ssh2
> Sep 17 19:08:34 quijote sshd[28921]: Illegal user guest from 219.113.213.21
> Sep 17 19:08:34 quijote sshd[28921]: error: Could not get shadow
> information for NOUSER
> Sep 17 19:08:34 quijote sshd[28921]: Failed password for illegal user
> guest from 219.113.213.21 port 57905 ssh2

ne sono pieno anch'io...sono script-kiddie che si divernono a provare
a bucare ssh basandosi su user comuni e password banali...se si
divertono troppo, cioe' il numero di tentativi supera la dozzina,
parte una simpatica mail all'abuse del loro provider (so che non serve
a nulla, ma sono rompiballe di natura...)

> Ora questi log non mi dicono niente, oppure sono rassicuranti, se non
> che ho trovato una directory dentro /home chiamata
>
> drwxrwxrwx   2 nobody  nogroup 4.0K Sep 17 19:21 ANONYMOUS

prima di tutto, cosa c'e' dentro quella directory?

ok, solitamente nobody:nogroup e' l'utente usato da apache per forkare
i processi che servono le pagine web ai client. quindi, hai apache
sulla tua macchina? se si', che versione? da quant'e' che non
l'aggiorni? guardati questi due advisory di Debian: DSA 805-1 e DSA
803-1.

> La cosa che mi lascia sconcertato e' che il mio e' un PC monoutente e
> collegato alla rete solo in certe ore del giorno. Inoltre ha delle

non cambia nulla: questa e' gente che va avanti a full scan di reti
intere, non importa da quanto sei connesso ma se hanno gia' superato
il tuo ip oppure no...

> regole di iptables abbastanza rigide. Lavoro su TESTING pero' (mea

ma l'80 la fanno passare, giusto...?

> culpa) ho ancora un vecchio kernel 2.4.

ma che versione? non per forza un software vecchio e che presenta una
falla, puo' essere sfruttato sulla tua macchina per averne accesso.

--
Sandro Tosi (aka Morpheus, matrixhasu)
My (little) site: http://matrixhasu.altervista.org/

Reply to:

Follow-Ups:
- Re: Mi sono entrati dentro!
  - From: Andrea Ganduglia <nonews.org@gmail.com>

References:
- Mi sono entrati dentro!
  - From: Andrea Ganduglia <nonews.org@gmail.com>

Prev by Date: Re: problema orologio
Next by Date: Re: Mi sono entrati dentro!
Previous by thread: Mi sono entrati dentro!
Next by thread: Re: Mi sono entrati dentro!
Index(es):
- Date
- Thread