[riaperto]: ssh-scan

[Fabio.sistemi]

avrei un problemino,
da qualche gg su un server debian che gestisco quando faccio il login
compaiono messaggi di errori riguardanti ssh-scan

sono stato informato da un tizio che il server in questione ogni tanto prova a forzare la pass ssh del suo router....

qulacuno sa come posso venir fuori?
dopo più ricerche ho trovato poco e nulla.....

grazie

[MaXeR]

ciao!
mi verrebbe da pensare che la macchina è stata compromessa...
hai eseguito già rkhunter?

[ferdybassi]

avrei un problemino,
da qualche gg su un server debian che gestisco quando faccio il login
compaiono messaggi di errori riguardanti ssh-scan
sono stato informato da un tizio che il server in questione ogni tanto prova a forzare la pass ssh del suo router....
qulacuno sa come posso venir fuori?

Anche io la penso come MaXeR. Se ti puoi fidare dei log, direi che puo iniziare da lì, per capire almeno:
- date e ore dei login di root
- da quali IP si logga oltre al tuo
- che comandi ha dato
- cosa ha installato
Poi puoi controllare se c'è qualche processo strano in esecuzione, o qualche servizio che tu non hai configurato. Se fai uso di software IDS è il momento di verificare i loro log.
Puoi anche provare ad agire sul firewall di rete (se c'è) per bloccare anche il traffico in uscita. Fai un giro con un qualche rootkit hunter e, infine, procedi ad un cambio di TUTTE le password della rete (compresi router, firewall e altri server).

Ciao ciao

[casperix]

Ciao,
anche io ieri ho avuto il tuo identico problema.
In un server che ho in cui sono installati i soli servizi verso l'esterno di ssh, ftp e apache ho riscontrato l'errore.
Ho eseguito sia
rkhunter --update   per aggiornarlo
che rkhunter -c per eseguirlo

e poi anche una versione ricompilata di

chkrootkit

nessuno dei due software mi ha riscontrato errori. Ho verificato i processi e sono quelli corretti. Per prova ho verificato anche le porte aperte con nmap -sT -O localhost ma non c'erano porte aperte tranne quella di ssh www ed ftp.
Ho provato  a cambiare l'autenticazione di ssh non come utente e password ma utilizzando l'autenticazione con chiavi e da circa un giuorno quell'errore non lo vedo più.
Non sò se ho risolto completamente il problema ma per ora quell'errore non lo da.

[Mister]

.....
Ho eseguito sia
rkhunter --update   per aggiornarlo
che rkhunter -c per eseguirlo
....
nessuno dei due software mi ha riscontrato errori.

Credo che l'update preliminare non sia stata una buona idea....
Con quel comando hai fotografato l'esistente (presumibilmente dopo il problema di sicurezza), e hai poi lanciato rkhunter per vedere se trovava differenze....il che a quel punto era piuttosto improbabile.

....
Ho provato  a cambiare l'autenticazione di ssh non come utente e password ma utilizzando l'autenticazione con chiavi e da circa un giuorno quell'errore non lo vedo più.
Non sò se ho risolto completamente il problema ma per ora quell'errore non lo da.

È facile che cambiando la password il problema sia risolto, ma è quasi impossibile capire se (sempre nel caso che di intruso si tratti) abbia lasciato qualcosa nel sistema. Il vecchio database di rkhunter (prima dell'update) doveva servire a questo.
Di fatto a queste cose non c'è soluzione. Se parliamo di un server in produzione, in caso di dubbi, l'unica vera certezza la ottieni solo da una formattazione dura con conseguente reinstallazione del sistema.
O almeno è così che la vedo io....in bocca al lupo e buon lavoro 
ciao

[casperix]

Grazie mille
ho provato a disinstallarlo e reinstallarlo eseguendolo questa volta senza fare l'update e non ho trovato nulla.
Quali altre verifiche potrei fare? purtroppo è un server di produzione

[mm-barabba]

Riguardo rkhunter , il comando che crea un'immagine del sistema mi risulta essere :

Codice:

rkhunter --propupd

Before running RKH you will need to fill the file properties database by
running the following command:

    rkhunter --propupd

To run RKH, as root, simply enter the following command:

    rkhunter --check


By default, the log file '/var/log/rkhunter.log' will be created. It
will contain the results of the checks made by RKH.

more info

Aggiornando il file della condizione del  PC ( qui non sono sicuro che il tuo comando abbia avuto effetti) o reinstallando rkhunter , penso tu abbia perso il riferimento perchè una scansione con rkhunter possa dare dei risultati .

PS. occorre aggiornare rkhunter ogni volta che si aggiorna il sistema , altrimenti verranno segnalati file modificati che in realtà sono il frutto di un'operazone di manutenzione

Potresti provare chkrootkit che trovi nei repository .

ciao