UnknownSoldier
26-04-2017, 19:34
Salve a tutti.
Vi scrivo perché avrei bisogno di aiuto riguardo la sicurezza di un mio server virtuale che ho presso Hetzner.
In pratica tra ieri e oggi ho ricevuto quattro segnalazioni di spam da parte di Hetzner, tutte quante riportanti questo testo:
We have received information regarding spam and/or abuse from autogenerated@blocklist.de (ma anche da parte di altri soggetti).
Please take all necessary measures to avoid this in the future.
Un esempio di report allegato:
Apr 25 19:44:44 vh1 sshd[17439]: Invalid user remote from 78.47.*.* (l'IP del mio server)
Apr 25 19:44:46 vh1 sshd[17439]: Failed password for invalid user remote from 78.47.*.* port 24328 ssh2
Apr 25 19:44:48 vh1 sshd[17439]: Failed password for invalid user remote from 78.47.*.* port 24328 ssh2
Da un altro report si evince che si tratta proprio di un login-attack:
Reported-From: abuse-team@blocklist.de
Category: abuse
Report-Type: login-attack
Service: ssh
Adesso, premesso che sono totalmente ignorante in materia, da quello che ho capito il mio server in qualche modo tenta continuamente di collegarsi via ssh ad altri server.
Ho provato a sbatterci un po' su la testa e la prima cosa che ho fatto è cambiare la password per l'accesso SSH (in effetti era deboluccia, solo 7 caratteri tutti numerici eccetto uno) con una di 32 caratteri, poi dare un'occhiata al file /var/log/auth.log, che tutt'ora continua a segnalarmi tentativi di accesso quasi ogni minuto, nonostante oggi abbia installato fail2ban.
Mi rendo conto però che questo è un altro discorso... ho installato il programma chkrootkit e ho fatto una scansione con questo. Mi ha rilevato dei file sospetti in
/usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo
/usr/lib/pymodules/python2.7/.path
che ho prontamente cancellato (ho cancellato direttamente le cartelle jvm e pymodules, tanto di java e di python non mi interessa nulla).
Ho controllato la lista degli host attivi con il comando last -a che non mi sembra segnalare cose anomale.
Per il momento non sto ricevendo più segnalazioni da Hetzner, ma come faccio ad essere sicuro al 100% che non ci sia nulla di pericoloso nel mio server? Inoltre, come è possibile che anche se ho installato fail2ban continuo ad avere tentativi di accesso al mio server quasi ogni minuto?
Avrei tanto bisogno di qualcuno che mi aiutasse in questa cosa, e se si tratta di una cosa complessa sono anche disposto a parlare di un compenso.
Grazie mille per l'attenzione.
Vi scrivo perché avrei bisogno di aiuto riguardo la sicurezza di un mio server virtuale che ho presso Hetzner.
In pratica tra ieri e oggi ho ricevuto quattro segnalazioni di spam da parte di Hetzner, tutte quante riportanti questo testo:
We have received information regarding spam and/or abuse from autogenerated@blocklist.de (ma anche da parte di altri soggetti).
Please take all necessary measures to avoid this in the future.
Un esempio di report allegato:
Apr 25 19:44:44 vh1 sshd[17439]: Invalid user remote from 78.47.*.* (l'IP del mio server)
Apr 25 19:44:46 vh1 sshd[17439]: Failed password for invalid user remote from 78.47.*.* port 24328 ssh2
Apr 25 19:44:48 vh1 sshd[17439]: Failed password for invalid user remote from 78.47.*.* port 24328 ssh2
Da un altro report si evince che si tratta proprio di un login-attack:
Reported-From: abuse-team@blocklist.de
Category: abuse
Report-Type: login-attack
Service: ssh
Adesso, premesso che sono totalmente ignorante in materia, da quello che ho capito il mio server in qualche modo tenta continuamente di collegarsi via ssh ad altri server.
Ho provato a sbatterci un po' su la testa e la prima cosa che ho fatto è cambiare la password per l'accesso SSH (in effetti era deboluccia, solo 7 caratteri tutti numerici eccetto uno) con una di 32 caratteri, poi dare un'occhiata al file /var/log/auth.log, che tutt'ora continua a segnalarmi tentativi di accesso quasi ogni minuto, nonostante oggi abbia installato fail2ban.
Mi rendo conto però che questo è un altro discorso... ho installato il programma chkrootkit e ho fatto una scansione con questo. Mi ha rilevato dei file sospetti in
/usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo
/usr/lib/pymodules/python2.7/.path
che ho prontamente cancellato (ho cancellato direttamente le cartelle jvm e pymodules, tanto di java e di python non mi interessa nulla).
Ho controllato la lista degli host attivi con il comando last -a che non mi sembra segnalare cose anomale.
Per il momento non sto ricevendo più segnalazioni da Hetzner, ma come faccio ad essere sicuro al 100% che non ci sia nulla di pericoloso nel mio server? Inoltre, come è possibile che anche se ho installato fail2ban continuo ad avere tentativi di accesso al mio server quasi ogni minuto?
Avrei tanto bisogno di qualcuno che mi aiutasse in questa cosa, e se si tratta di una cosa complessa sono anche disposto a parlare di un compenso.
Grazie mille per l'attenzione.