[Linux-Biella] tentativi di accesso al server

[Marco Vallini]

On 10/11/2016 07:43, daniele wrote:

> Fail2ban e' gia' installato ed inoltre non e' permessa l'autenticazione
> da root ma non mi pare che qui servano perche' quei tentativi cadono
> prima dell'autenticazione

allora devi aggiungere una regexpr per gestire quel caso. Cerca su 
google ce ne sono...

>>
>>>
>>> Questa inspiegabile insistenza puo' nascondere la ricerca di qualche
>>> buco di sicurezza sul mio server?
>>
>> cercano di ottenere un utente su quella macchina per utilizzarla
>> successivamente, di solito non per fare del bene ;-)
> Gia' ma vedi qualche possibilita' concreta di attacco in questo caso?

Dovrei vedere come è configurata la macchina per essere ragionevolmente 
sicuro che non sia *facilmente* attaccabile. Bisogna vedere anche come è 
configurato fail2ban e per cosa (rispetto ai servizi che hai sulla 
macchina). Bisogna vedere se il preauth può dare fastidio in qualche 
caso, ad esempio se può esserci un bug nella implementazione di openssh 
che possa dare problemi. Devi cercare... ;-)

Quindi posso solo fare una considerazione generale:
spesso, si acquisisce un utente su una macchina, poi si installa un 
software e lo si usa come parte di una botnet. Con la botnet spesso si 
fanno attacchi distribuiti (ad es. DDoS). Ma ci possono essere anche 
altre mille ragioni ;-)

>
> Puo' anche essere e credo che l'uso di macchine bucate sia normale
> quando l'attaccante sia appena sopra allo scipt kiddie
>

beh io non so chi sia che cerca di entrare, posso dirti solo il 
comportamento medio e lo scopo più probabile. ;-)