[Linux-Biella] tentativi di accesso al server

[daniele]

Il 10/11/2016 07:17, Marco Vallini ha scritto:
> On 10/11/2016 06:56, daniele wrote:
>> Da giorni ricevo questi tentativi di accesso ogni minuto, cosi'
>> registrati sul log:
>>
>> Connection closed by 115.85.194.82 [preauth]
>>
>> e
>>
>> Did not receive identification string from 115.85.194.82
>>
>> Chiaramente cadono in preauth o vengono vengono bloccati all'inizio
>> dell'autenticazione.
>>
>> Il problema e' che sono migliaia e migliaia, mi stanno riempiendo il log
>> e mi fanno perder tempo nel controllarlo.
>>
>> Il kernel ha in in carico il seguente comando:
>>
>> iptables -A INPUT -s 115.85.194.82 -j DROP
>>
>> Esiste qualche mezzo per bloccare prima questo scassamaroni fuori di 
>> testa?
>
> installa fail2ban

Fail2ban e' gia' installato ed inoltre non e' permessa l'autenticazione 
da root ma non mi pare che qui servano perche' quei tentativi cadono 
prima dell'autenticazione
>
>>
>> Questa inspiegabile insistenza puo' nascondere la ricerca di qualche
>> buco di sicurezza sul mio server?
>
> cercano di ottenere un utente su quella macchina per utilizzarla 
> successivamente, di solito non per fare del bene ;-)
Gia' ma vedi qualche possibilita' concreta di attacco in questo caso?
>
>>
>> Il whois indica: China Unicom Gansu province network  ma serve a
>> qualcosa considerando che l'IP puo' essere spoofato?
>>
>
> potrebbe anche essere il tuo vicino di casa che ha bucato un'altra 
> macchina in cina e sta cercando di fare lo stesso con la tua passando 
> da quella :-D

Puo' anche essere e credo che l'uso di macchine bucate sia normale 
quando l'attaccante sia appena sopra allo scipt kiddie