Hacking? Slogin dyndns e remote host identification changed

Firewall, Server, Monitoring e tutto quello che riguarda la sicurezza della nostra Linux Box

Hacking? Slogin dyndns e remote host identification changed

Messaggioda danjde » 24/02/2018, 21:57

Salve amici,
oggi tentando di connettermi ad una postazione remota tramite ssh (slogin) utilizzando l'indirizzo alfanumerico fornitomi da DYNDNS mi sono visto il messaggio:

WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

Premetto che tale postazione è connessa ad internet tramite modem router telecom italia (in fibra) e il suo indirizzo DYNDNS è dato in automatico tramite consueta funzionalità del router.

Per pura fatalità l'accesso lo eseguivo da un nuovo computer, così abbastanza leggermente a seguito dell'avviso di ssh ho cancellato il "known_hosts" e ho digitato la password di accesso.
Insolitamente l'accesso non si stabiliva, così ho cominciato ad eseguire delle verifiche e ho scoperto che l'indirizzo fornitomi da DYNDNS puntava ad un ip in svizzera (la mia postazione remota è in veneto).

Allora interrogo con nmap tale indirizzo (109.232.95.252) e risulta:

general purpose|firewall|storage-misc
Running (JUST GUESSING): Linux 2.6.X|3.X (96%), WatchGuard Fireware 11.X (90%), Synology DiskStation Manager 5.X (90%)



Vado sul pannello DYDNS e trovo:

DYNDNS: L'host è in stato abbandonato. Ultima Conferma 16-10-2017 00:00:00. L'host non è stato confermato entro i 60 giorni previsti. Confermare l'host per riattivarlo.

A questo punto le domande:

1) perdendo il router (come capita spesso) la sua configurazione o parte di essa a seguito degli aggiornamenti remoti firmware di telecom, DYNDNS sostituisce l'ip della mia macchina remota con quello di chissà chi?

2) potrebbe trattarsi di un sistema remoto che si sia sostituito alla mia macchina (remota) con lo scopo di accedere alla password dell'utente?

3) come si può mettere in sicurezza dunque, l'accesso remoto di una macchina connessa con questi model telecom che obbligano gli utenti ad upgrade forzati del firmware il più delle volte in grado di resettare la configurazione degli stessi a insaputa degli utenti?


Grazie infinite!

Davide
cosmogoniA
n o p r o v a r e n o f a r e o n o n f a r e n o n c e p r o v a r e
Avatar utente
danjde
Newbie
Newbie
 
Messaggi: 38
Iscritto il: 06/09/2016, 11:59
Località: Verona

Re: Hacking? Slogin dyndns e remote host identification chan

Messaggioda marcomg » 25/02/2018, 8:23

danjde ha scritto:1) perdendo il router (come capita spesso) la sua configurazione o parte di essa a seguito degli aggiornamenti remoti firmware di telecom, DYNDNS sostituisce l'ip della mia macchina remota con quello di chissà chi?

No idea, non utilizzo dyndns da una vita (per gli ip dinamici sto utilizzando duckdns). Ma se utilizzi le chiavi RSA per accedere lo reputo molto improbabile (aggiungi fail2ban se stai tranquillo).

danjde ha scritto:2) potrebbe trattarsi di un sistema remoto che si sia sostituito alla mia macchina (remota) con lo scopo di accedere alla password dell'utente?

Ma tu hai ancora proprietà del dominio? Non è che semplicemente è stato riassegnato?

danjde ha scritto:3) come si può mettere in sicurezza dunque, l'accesso remoto di una macchina connessa con questi model telecom che obbligano gli utenti ad upgrade forzati del firmware il più delle volte in grado di resettare la configurazione degli stessi a insaputa degli utenti?

Potresti non utilizzare un router telecom o metterne un altro in cascata (ma devi essere in grado di gestirlo e mantenerlo aggiornato, per esempio io utilizzo il firmware LEDE con grande soddisfazione). Oppure semplicemente l'autenticazione per il cambio IP la potresti far fare alla macchina invece che al router.
Windows is what you open when you want fresh air from outside.
Avatar utente
marcomg
Hero Member
Hero Member
 
Messaggi: 5571
Iscritto il: 22/08/2011, 18:54

Re: Hacking? Slogin dyndns e remote host identification chan

Messaggioda ferdybassi » 26/02/2018, 0:04

Dyndns serve per gestire gli IP dinamici assegnati dai provider ai router finali casalinghi.
Nelle normali ADSL casalinghe, oggi hai un IP, domani un altro. Dyndns serve per "collegare" al tuo dominio (es: ferdybassi.dyndns.org) gli IP che di volta in volta cambiano, e permetterti di gestire i tuoi servizi (ssh, http, ftp, quello che vuoi) senza interruzioni anche se l'IP del tuo router cambia.
Quindi è perfettamente normale che l'IP che hai interrogato (109.232.95.252) a ottobre fosse assegnato a te e oggi a un altro. Dyndns non sostituisce un bel nulla... è che il tuo contratto ADSL NON prevede che tu abbia un IP fisso, e quindi ti viene assegnato di volta in volta uno tra quelli liberi di proprietà Telecom.
Il problema non è che il tuo IP cambia, quello è normale. Il problema è che spesso il servizio di Dynamic DNS integrato nei router Telecom funziona da schifo.
Come già detto da marcomg, ti consiglio di utilizzare duckdns, installando il suo agent su un PC/Server della tua rete.

Ciao.
Immagine  Immagine
Avatar utente
ferdybassi
Administrator
Administrator
 
Messaggi: 3283
Iscritto il: 28/12/2006, 4:22
Località: S. Angelo Lodigiano (LO)

Re: Hacking? Slogin dyndns e remote host identification chan

Messaggioda danjde » 26/02/2018, 19:27

Grazie molte delle vostre gentilissime risposte!

Ho parto una segnalazione anche presso DYNDNS.IT e poi riferirò.

La cosa particolarmente cusriosa è che l'indirizzo (alfanumenrico) fornito da DYNDNS caratterizza fortemente l'utente a cui viene assegnato e dunque pare a me molto strano che venga ri-assegnato ad altra utenza con facilità.

Faccio un esempio:

l'indirizzo DYNDNS poteva essere del tipo:

giorgiomarchesini.ns0.it

come è possibile che l'indirizzo "giorgiomarchesini.ns0.it" venga utilizzato da altro utente e in Svizzera poi??!!

Vi aggiorno sulla eventuale risposta di DYNDNS.IT.

Grazie ancora
cosmogoniA
n o p r o v a r e n o f a r e o n o n f a r e n o n c e p r o v a r e
Avatar utente
danjde
Newbie
Newbie
 
Messaggi: 38
Iscritto il: 06/09/2016, 11:59
Località: Verona


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti