SSH Server\IPTables, han provato a entrare nel mio pc

[NoeX]

Sul mio computer con ubuntu ho installato un ssh server per usarlo dovunque io sia...

Oggi dò uno sguardo al file di log /var/log/auth.log

e guardo un sacco di tentativi di accesso da questo ip inglese 85.8.136.219 e da

Address 64.27.15.244 maps to dig.tomsplane.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

ok, al momento ssh utilizza solo la password, ho visto che tra le opzioni è possibile anche scegliere, invece della password, delle public key... e così è come cambierò ssh config...

ora, posso fare altro ? Su linux è possibile mettere mano a iptables per uccidere il traffico incoming\outgoing ecc... che regole mi consigliate di mettere ? Ci butto dentro tutti i vari indirizzi ip da bluetack.co.uk (quelli di peer guardian insomma)...

inoltre, usando quel sito che diede jarsil tempo fà sul port scanner, quasi tutte le porte sono stealth, ma il ping viene risposto direttamente dal router... come posso fare in questo caso ? nel firewall del dlink ci butto una regola ?

sto veramente troppo incazzato di sto attacco

[Rob]

Sul mio computer con ubuntu ho installato un ssh server per usarlo dovunque io sia...
Oggi dò uno sguardo al file di log /var/log/auth.log
e guardo un sacco di tentativi di accesso da questo ip inglese 85.8.136.219 e da
Address 64.27.15.244 maps to dig.tomsplane.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
ok, al momento ssh utilizza solo la password, ho visto che tra le opzioni è possibile anche scegliere, invece della password, delle public key... e così è come cambierò ssh config...
ora, posso fare altro ? Su linux è possibile mettere mano a iptables per uccidere il traffico incoming\outgoing ecc... che regole mi consigliate di mettere ? Ci butto dentro tutti i vari indirizzi ip da bluetack.co.uk (quelli di peer guardian insomma)...
inoltre, usando quel sito che diede jarsil tempo fà sul port scanner, quasi tutte le porte sono stealth, ma il ping viene risposto direttamente dal router... come posso fare in questo caso ? nel firewall del dlink ci butto una regola ?
sto veramente troppo incazzato di sto attacco

Metti sul router, come impostazione, di non rispondere alle richieste di Ping.

Certo che sei hai programmi attivi che loro volta inviano report dell'attività sei fottuto

[NoeX]

Ho messo sul router di bloccare il traffico ICMP sull'interfaccia WAN con subnet mask classe 0 ( ovvero 0.0.0.0 ), solo che non blocca niente... bug del firmware oppure ricordo male io da reti, ovvero che subnet mask aventi

IP 192.168.0.0

Sub Mask: 255.255.255.0 --> 192.168.0.x

Sub Mask: 255.255.0.0 -> 192.168.x.y

e ricorsivamente, la 0.0.0.0 va bene per tutto no ?

Altra domanda, ma c'è un modo per disabilitare il telnet da remoto ? Via Web ho guardato, ma non c'è, mi ci sono collegato, ma le descrizioni dei vari processi non sono chiare per un cavolo, c'è uno standard ?


Trovato qualcosa qua

http://shadow.sentry.org/~trev/dsl50x.html

http://shadow.sentry.org/~trev/adsl/stealth.html <- manca quello che dici te rob


no ma bello sto router qq

[Rob]

Ho messo sul router di bloccare il traffico ICMP sull'interfaccia WAN con subnet mask classe 0 ( ovvero 0.0.0.0 ), solo che non blocca niente... bug del firmware oppure ricordo male io da reti, ovvero che subnet mask aventi

IP 192.168.0.0

Sub Mask: 255.255.255.0 --> 192.168.0.x

Sub Mask: 255.255.0.0 -> 192.168.x.y

e ricorsivamente, la 0.0.0.0 va bene per tutto no ?

Altra domanda, ma c'è un modo per disabilitare il telnet da remoto ? Via Web ho guardato, ma non c'è, mi ci sono collegato, ma le descrizioni dei vari processi non sono chiare per un cavolo, c'è uno standard ?


Trovato qualcosa qua

http://shadow.sentry.org/~trev/dsl50x.html

http://shadow.sentry.org/~trev/adsl/stealth.html <- manca quello che dici te rob


no ma bello sto router qq

Magari ragiona per eccezioni: prova a chiudere con 255.255.255.255

Telnet da remoto? crea un server virtuale, prendi la porta 23 e dirigila su un indirizzo inesistente della LAN

[Necker]

[Mosaik]

Io quando apro VNC sul mio pc la sera trovo nel log 2000 tentativi di connessione
Il mio problema credo sia che uso anche un dnsalias

Siceramente me ne frego visto che la maggior parte penso siano boot che provano ad entrare con psw di default

[NoeX]

A me han fatto diversi attacchi provando diversi username per diverse ore...

@ rob

sto router non supporta server virtuali, comunque una cosa la posso fare, ovvero redirezionare il traffico su un host inesistente, se poi dovesse partire ancora la parte web, uso la seriale

per quanto riguarda l'ICMP

io devo definire source e destination nelle regole del firewall

cosa cavolo devo mettere per destinazione ? l'interfaccia esterna del router è un ip... con quale netmask ?

Mi sono riguardato gli appunti di reti, subnet mask & ip fanno un AND, quindi l'elemento neutro è l'1, cioè, io valuto solo gli 0, mettendo quindi la classe /32 cioè 255.255.255.255 mi prende tutti gli IP...

ora provo ;D grazie rob


edit: doesnt work

come interfaccia ho selezionato l'interfaccia esterna

source\destination ip messi a 0.0.0.0

subnet mask 255.255.255.255

perchè non blocca niente ?

io ho provato dalla rete locale, cioè fatto ping xx.xx.xx.xx (interfaccia esterna), però non li dovrebbe bloccare sia in ingresso che in uscita ?

[Rob]

Vai in "redirect port"

aggiungi:

Comment: NOTELNET
Internet Port: 23
Local Port: 23
Protocol: TCP
Local Computer: indirizzo IP non utilizzato

Facendo così seghi via le chiamate alla porta telnet

Per lo ICMPing non trovo le info sul manuale..

P.S. potresti anche abilitare una porta random, tipo 52610 e reindirizzarla alla 23 dello stesso router, poi puoi telnettare su quella..