Aiuto problema spam dal mio server [da considerare anche un compenso se necessario]

UnknownSoldier · 26-04-2017, 19:34

Salve a tutti.
Vi scrivo perché avrei bisogno di aiuto riguardo la sicurezza di un mio server virtuale che ho presso Hetzner.
In pratica tra ieri e oggi ho ricevuto quattro segnalazioni di spam da parte di Hetzner, tutte quante riportanti questo testo:

We have received information regarding spam and/or abuse from autogenerated@blocklist.de (ma anche da parte di altri soggetti).
Please take all necessary measures to avoid this in the future.

Un esempio di report allegato:

Apr 25 19:44:44 vh1 sshd[17439]: Invalid user remote from 78.47.*.* (l'IP del mio server)
Apr 25 19:44:46 vh1 sshd[17439]: Failed password for invalid user remote from 78.47.*.* port 24328 ssh2
Apr 25 19:44:48 vh1 sshd[17439]: Failed password for invalid user remote from 78.47.*.* port 24328 ssh2

Da un altro report si evince che si tratta proprio di un login-attack:
Reported-From: abuse-team@blocklist.de
Category: abuse
Report-Type: login-attack
Service: ssh

Adesso, premesso che sono totalmente ignorante in materia, da quello che ho capito il mio server in qualche modo tenta continuamente di collegarsi via ssh ad altri server.
Ho provato a sbatterci un po' su la testa e la prima cosa che ho fatto è cambiare la password per l'accesso SSH (in effetti era deboluccia, solo 7 caratteri tutti numerici eccetto uno) con una di 32 caratteri, poi dare un'occhiata al file /var/log/auth.log, che tutt'ora continua a segnalarmi tentativi di accesso quasi ogni minuto, nonostante oggi abbia installato fail2ban.
Mi rendo conto però che questo è un altro discorso... ho installato il programma chkrootkit e ho fatto una scansione con questo. Mi ha rilevato dei file sospetti in

/usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo
/usr/lib/pymodules/python2.7/.path

che ho prontamente cancellato (ho cancellato direttamente le cartelle jvm e pymodules, tanto di java e di python non mi interessa nulla).
Ho controllato la lista degli host attivi con il comando last -a che non mi sembra segnalare cose anomale.
Per il momento non sto ricevendo più segnalazioni da Hetzner, ma come faccio ad essere sicuro al 100% che non ci sia nulla di pericoloso nel mio server? Inoltre, come è possibile che anche se ho installato fail2ban continuo ad avere tentativi di accesso al mio server quasi ogni minuto?
Avrei tanto bisogno di qualcuno che mi aiutasse in questa cosa, e se si tratta di una cosa complessa sono anche disposto a parlare di un compenso.
Grazie mille per l'attenzione.

Kaya · 27-04-2017, 08:29

Prima cosa io cambierei la porta su cui ascolta ssh che male non fa (/etc/ssh.conf) con qualcosa di non standar (io suo schemi tipo porta 7722 ) e riavvia il demone
Poi io direi che un ps |ax per vedere i processi attivi, un htop e un tcpdump (escludendo il tuo host) possono farti avere un idea su quello che sta succedendo (magari un tcpdump sulla porta 22 vedi se cerca di fare connessioni in giro)

cattivik66 · 29-04-2017, 10:32

Al di là di software obsoleto con relative porte aperte verso l'esterno, la cosa che ho visto piú di frequente sono siti web fatti con i piedi che permettono di eseguire codice da remoto, siti web con base comune famosa ma mai aggiornati con qualche problema di sicurezza, estensioni del server web mai aggiornate, siti web con possibilità di fare upload di file in cartelle mal configurate nel server web, ecc ecc.

Sent from my Nexus 5 using Tapatalk

mmiat · 29-04-2017, 10:59

attacchi su ssh sono all'ordine del giorno, io ho un server RDP che purtroppo il cliente vuole aperto al mondo e ha ricevuto 13.000 tentativi nei primi 4 giorni di vita...

comunque finché sono failed non c'è problema, anche se è ottimo il consiglio di cambiare porta

se è un problema di spam verifica di non avere un cms con migliaia di utenti farlocchi registrati e che i form contatti siano sicuri (captcha, ecc.)

26-04-2017, 19:34	#1
UnknownSoldier Member Iscritto dal: Aug 2008 Messaggi: 210	Aiuto problema spam dal mio server [da considerare anche un compenso se necessario] Salve a tutti. Vi scrivo perché avrei bisogno di aiuto riguardo la sicurezza di un mio server virtuale che ho presso Hetzner. In pratica tra ieri e oggi ho ricevuto quattro segnalazioni di spam da parte di Hetzner, tutte quante riportanti questo testo: We have received information regarding spam and/or abuse from autogenerated@blocklist.de (ma anche da parte di altri soggetti). Please take all necessary measures to avoid this in the future. Un esempio di report allegato: Apr 25 19:44:44 vh1 sshd[17439]: Invalid user remote from 78.47.. (l'IP del mio server) Apr 25 19:44:46 vh1 sshd[17439]: Failed password for invalid user remote from 78.47.. port 24328 ssh2 Apr 25 19:44:48 vh1 sshd[17439]: Failed password for invalid user remote from 78.47.. port 24328 ssh2 Da un altro report si evince che si tratta proprio di un login-attack: Reported-From: abuse-team@blocklist.de Category: abuse Report-Type: login-attack Service: ssh Adesso, premesso che sono totalmente ignorante in materia, da quello che ho capito il mio server in qualche modo tenta continuamente di collegarsi via ssh ad altri server. Ho provato a sbatterci un po' su la testa e la prima cosa che ho fatto è cambiare la password per l'accesso SSH (in effetti era deboluccia, solo 7 caratteri tutti numerici eccetto uno) con una di 32 caratteri, poi dare un'occhiata al file /var/log/auth.log, che tutt'ora continua a segnalarmi tentativi di accesso quasi ogni minuto, nonostante oggi abbia installato fail2ban. Mi rendo conto però che questo è un altro discorso... ho installato il programma chkrootkit e ho fatto una scansione con questo. Mi ha rilevato dei file sospetti in /usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo /usr/lib/pymodules/python2.7/.path che ho prontamente cancellato (ho cancellato direttamente le cartelle jvm e pymodules, tanto di java e di python non mi interessa nulla). Ho controllato la lista degli host attivi con il comando last -a che non mi sembra segnalare cose anomale. Per il momento non sto ricevendo più segnalazioni da Hetzner, ma come faccio ad essere sicuro al 100% che non ci sia nulla di pericoloso nel mio server? Inoltre, come è possibile che anche se ho installato fail2ban continuo ad avere tentativi di accesso al mio server quasi ogni minuto? Avrei tanto bisogno di qualcuno che mi aiutasse in questa cosa, e se si tratta di una cosa complessa sono anche disposto a parlare di un compenso. Grazie mille per l'attenzione.

27-04-2017, 08:29	#2
Kaya Senior Member Iscritto dal: Apr 2005 Messaggi: 2993	Prima cosa io cambierei la porta su cui ascolta ssh che male non fa (/etc/ssh.conf) con qualcosa di non standar (io suo schemi tipo porta 7722 ) e riavvia il demone Poi io direi che un ps \|ax per vedere i processi attivi, un htop e un tcpdump (escludendo il tuo host) possono farti avere un idea su quello che sta succedendo (magari un tcpdump sulla porta 22 vedi se cerca di fare connessioni in giro)

29-04-2017, 10:32	#3
cattivik66 Member Iscritto dal: Jul 2002 Messaggi: 139	Al di là di software obsoleto con relative porte aperte verso l'esterno, la cosa che ho visto piú di frequente sono siti web fatti con i piedi che permettono di eseguire codice da remoto, siti web con base comune famosa ma mai aggiornati con qualche problema di sicurezza, estensioni del server web mai aggiornate, siti web con possibilità di fare upload di file in cartelle mal configurate nel server web, ecc ecc. Sent from my Nexus 5 using Tapatalk

29-04-2017, 10:59	#4
mmiat Senior Member Iscritto dal: May 2003 Città: Padova Messaggi: 1220	attacchi su ssh sono all'ordine del giorno, io ho un server RDP che purtroppo il cliente vuole aperto al mondo e ha ricevuto 13.000 tentativi nei primi 4 giorni di vita... comunque finché sono failed non c'è problema, anche se è ottimo il consiglio di cambiare porta se è un problema di spam verifica di non avere un cms con migliaia di utenti farlocchi registrati e che i form contatti siano sicuri (captcha, ecc.)

Strumenti
Mostra una versione stampabile Invia questa pagina per email