Security alert from host

[salento]

Ciao ragazzi ho ricevuto questa mail dopo aver eseguito lo scan con il modulo Watchdog.

Scusate al domanda ignorante ma cossa significa ?
Ho capito che esiste una falla poichè è possibile effettuare il login come root !!
ma come porre rimedio ?

Codice:

This letter was generated by security scanner started on host miosito.it at Apr  20, 2009 09:13 PM.

Note: It is recommended that you re-run security  scanning on the machine
via Plesk control panel before you make any changes  to the machine
configuration.

Security scanning generated the  following warnings (the full scanning log
is available at  /var/log/rkhunter.log):

[21:13:11] ------------------------- Security  advisories -------------------------
[21:13:11] Warning: root login possible.  Change for your safety the 'PermitRootLogin'

Scusate, mi rendo conto della stupidità della domanda e che la risposta + ovvia è: "se gestis una VPS dovresti essere in grado di tenerla in sicurezza !!!""
ma credetemi è c'è la metto tutta ...
è solo colpa di quella maledetta laurea in economia ...

Grazie per l'eventuale aiuto

Di seguito allego il log dello scan :

Codice:

Running updater...

Mirrorfile /usr/local/psa/var/modules/watchdog/lib/rkhunter/db/mirrors.dat rotated
Using mirror http://rkhunter.sourceforge.net
[DB] Mirror file                      : Up to date
[DB] MD5 hashes system binaries       : Up to date
[DB] Operating System information     : Up to date
[DB] MD5 blacklisted tools/binaries   : Up to date
[DB] Known good program versions      : Up to date
[DB] Known bad program versions       : Up to date




Ready.


Rootkit Hunter 1.2.8 is running

Determining OS... Ready


Checking binaries
* Selftests
     Strings (command)     [ OK ]


* System tools
  Performing 'known bad' check...
   /bin/cat  [ OK ]
   /bin/chmod  [ OK ]
   /bin/chown  [ OK ]
   /bin/csh  [ OK ]
   /bin/date  [ OK ]
   /bin/df  [ OK ]
   /bin/dmesg  [ OK ]
   /bin/echo  [ OK ]
   /bin/ed  [ OK ]
   /bin/egrep  [ OK ]
   /bin/env  [ OK ]
   /bin/fgrep  [ OK ]
   /bin/grep  [ OK ]
   /bin/kill  [ OK ]
   /bin/login  [ OK ]
   /bin/ls  [ OK ]
   /bin/more  [ OK ]
   /bin/mount  [ OK ]
   /bin/netstat  [ OK ]
   /bin/ps  [ OK ]
   /bin/sh  [ OK ]
   /bin/sort  [ OK ]
   /bin/su  [ OK ]
   /sbin/chkconfig  [ OK ]
   /sbin/depmod  [ OK ]
   /sbin/ifconfig  [ OK ]
   /sbin/ifdown  [ OK ]
   /sbin/ifup  [ OK ]
   /sbin/init  [ OK ]
   /sbin/insmod  [ OK ]
   /sbin/ip  [ OK ]
   /sbin/lsmod  [ OK ]
   /sbin/modinfo  [ OK ]
   /sbin/modprobe  [ OK ]
   /sbin/nologin  [ OK ]
   /sbin/rmmod  [ OK ]
   /sbin/runlevel  [ OK ]
   /sbin/sulogin  [ OK ]
   /sbin/sysctl  [ OK ]
   /sbin/syslogd  [ OK ]
   /usr/bin/chattr  [ OK ]
   /usr/bin/du  [ OK ]
   /usr/bin/file  [ OK ]
   /usr/bin/find  [ OK ]
   /usr/bin/groups  [ OK ]
   /usr/bin/head  [ OK ]
   /usr/bin/kill  [ OK ]
   /usr/bin/killall  [ OK ]
   /usr/bin/last  [ OK ]
   /usr/bin/lastlog  [ OK ]
   /usr/bin/less  [ OK ]
   /usr/bin/locate  [ OK ]
   /usr/bin/logger  [ OK ]
   /usr/bin/lsattr  [ OK ]
   /usr/bin/md5sum  [ OK ]
   /usr/bin/passwd  [ OK ]
   /usr/bin/pstree  [ OK ]
   /usr/bin/sha1sum  [ OK ]
   /usr/bin/size  [ OK ]
   /usr/bin/stat  [ OK ]
   /usr/bin/strace  [ OK ]
   /usr/bin/strings  [ OK ]
   /usr/bin/test  [ OK ]
   /usr/bin/top  [ OK ]
   /usr/bin/users  [ OK ]
   /usr/bin/vmstat  [ OK ]
   /usr/bin/w  [ OK ]
   /usr/bin/watch  [ OK ]
   /usr/bin/wc  [ OK ]
   /usr/bin/wget  [ OK ]
   /usr/bin/whatis  [ OK ]
   /usr/bin/whereis  [ OK ]
   /usr/bin/which  [ OK ]
   /usr/bin/who  [ OK ]
   /usr/bin/whoami  [ OK ]
   /usr/sbin/adduser  [ OK ]
   /usr/sbin/chroot  [ OK ]
   /usr/sbin/tcpd  [ OK ]
   /usr/sbin/useradd  [ OK ]
   /usr/sbin/usermod  [ OK ]
   /usr/sbin/vipw  [ OK ]
   /usr/sbin/xinetd  [ OK ]
  Performing 'known good' check...


Check rootkits
* Default files and directories
   Rootkit '55808 Trojan - Variant A'...   [ OK ]
   ADM Worm...   [ OK ]
   Rootkit 'AjaKit'...   [ OK ]
   Rootkit 'aPa Kit'...   [ OK ]
   Rootkit 'Apache Worm'...   [ OK ]
   Rootkit 'Ambient (ark) Rootkit'...   [ OK ]
   Rootkit 'Balaur Rootkit'...   [ OK ]
   Rootkit 'BeastKit'...   [ OK ]
   Rootkit 'beX2'...   [ OK ]
   Rootkit 'BOBKit'...   [ OK ]
   Rootkit 'CiNIK Worm (Slapper.B variant)'...   [ OK ]
   Rootkit 'Danny-Boy's Abuse Kit'...   [ OK ]
   Rootkit 'Devil RootKit'...   [ OK ]
   Rootkit 'Dica'...   [ OK ]
   Rootkit 'Dreams Rootkit'...   [ OK ]
   Rootkit 'Duarawkz'...   [ OK ]
   Rootkit 'Flea Linux Rootkit'...   [ OK ]
   Rootkit 'FreeBSD Rootkit'...   [ OK ]
   Rootkit 'Fuck`it Rootkit'...   [ OK ]
   Rootkit 'GasKit'...   [ OK ]
   Rootkit 'Heroin LKM'...   [ OK ]
   Rootkit 'HjC Kit'...   [ OK ]
   Rootkit 'ignoKit'...   [ OK ]
   Rootkit 'ImperalsS-FBRK'...   [ OK ]
   Rootkit 'Irix Rootkit'...   [ OK ]
   Rootkit 'Kitko'...   [ OK ]
   Rootkit 'Knark'...   [ OK ]
   Rootkit 'Li0n Worm'...   [ OK ]
   Rootkit 'Lockit / LJK2'...   [ OK ]
   Rootkit 'MRK'...   [ OK ]
   Rootkit 'Ni0 Rootkit'...   [ OK ]
   Rootkit 'RootKit for SunOS / NSDAP'...   [ OK ]
   Rootkit 'Optic Kit (Tux)'...   [ OK ]
   Rootkit 'Oz Rootkit'...   [ OK ]
   Rootkit 'Portacelo'...   [ OK ]
   Rootkit 'R3dstorm Toolkit'...   [ OK ]
   Rootkit 'RH-Sharpe's rootkit'...   [ OK ]
   Rootkit 'RSHA's rootkit'...   [ OK ]
   Sebek LKM  [ OK ]
   Rootkit 'Scalper Worm'...   [ OK ]
   Rootkit 'Shutdown'...   [ OK ]
   Rootkit 'SHV4'...   [ OK ]
   Rootkit 'SHV5'...   [ OK ]
   Rootkit 'Sin Rootkit'...   [ OK ]
   Rootkit 'Slapper'...   [ OK ]
   Rootkit 'Sneakin Rootkit'...   [ OK ]
   Rootkit 'Suckit Rootkit'...   [ OK ]
   Rootkit 'SunOS Rootkit'...   [ OK ]
   Rootkit 'Superkit'...   [ OK ]
   Rootkit 'TBD (Telnet BackDoor)'...   [ OK ]
   Rootkit 'TeLeKiT'...   [ OK ]
   Rootkit 'T0rn Rootkit'...   [ OK ]
   Rootkit 'Trojanit Kit'...   [ OK ]
   Rootkit 'Tuxtendo'...   [ OK ]
   Rootkit 'URK'...   [ OK ]
   Rootkit 'VcKit'...   [ OK ]
   Rootkit 'Volc Rootkit'...   [ OK ]
   Rootkit 'X-Org SunOS Rootkit'...   [ OK ]
   Rootkit 'zaRwT.KiT Rootkit'...   [ OK ]

* Suspicious files and malware
   Scanning for known rootkit strings  [ OK ]
   Scanning for known rootkit files  [ OK ]
   Testing running processes...   [ OK ]
   Miscellaneous Login backdoors  [ OK ]
   Miscellaneous directories  [ OK ]
   Software related files  [ OK ]
   Sniffer logs  [ OK ]

* Trojan specific characteristics
   shv4
     Checking /etc/rc.d/rc.sysinit
       Test 1  [ Clean ]
       Test 2  [ Clean ]
       Test 3  [ Clean ]
     Checking /etc/inetd.conf  [ Not found ]
     Checking /etc/xinetd.conf  [ Clean ]

* Suspicious file properties
   chmod properties
     Checking /bin/ps  [ Clean ]
     Checking /bin/ls  [ Clean ]
     Checking /usr/bin/w  [ Clean ]
     Checking /usr/bin/who  [ Clean ]
     Checking /bin/netstat  [ Clean ]
     Checking /bin/login  [ Clean ]
   Script replacements
     Checking /bin/ps  [ Clean ]
     Checking /bin/ls  [ Clean ]
     Checking /usr/bin/w  [ Clean ]
     Checking /usr/bin/who  [ Clean ]
     Checking /bin/netstat  [ Clean ]
     Checking /bin/login  [ Clean ]

* OS dependant tests

   Linux
     Checking loaded kernel modules... Skipped!
     Checking files attributes  [ OK ]
     Checking LKM module path  [ Skipped! ]


Networking
* Check: frequently used backdoors
  Port 2001: Scalper Rootkit  [ OK ]
  Port 2006: CB Rootkit  [ OK ]
  Port 2128: MRK  [ OK ]
  Port 14856: Optic Kit (Tux)  [ OK ]
  Port 47107: T0rn Rootkit  [ OK ]
  Port 60922: zaRwT.KiT  [ OK ]

* Interfaces
     Scanning for promiscuous interfaces  [ OK ]


System checks
* Allround tests
   Checking hostname... Found. Hostname is miosito.it
   Checking for passwordless user accounts... OK
   Checking for differences in user accounts... OK. No changes.
   Checking for differences in user groups... OK. No changes.
   Checking boot.local/rc.local file... 
     - /etc/rc.local  [ OK ]
     - /etc/rc.d/rc.local  [ OK ]
     - /usr/local/etc/rc.local  [ Not found ]
     - /usr/local/etc/rc.d/rc.local  [ Not found ]
     - /etc/conf.d/local.start  [ Not found ]
     - /etc/init.d/boot.local  [ Not found ]
   Checking rc.d files... 
     Processing........................................
               ........................................
               ........................................
               ........................................
               ........................................
               ........................................
               ........................................
               .....................................
   Result rc.d files check  [ OK ]
   Checking history files
     Bourne Shell  [ OK ]

* Filesystem checks
   Checking /dev for suspicious files...   [ OK ]
   Scanning for hidden files...  [ OK ]


Application advisories
* Application scan
   Checking Apache2 modules ...      [ Not found ]
   Checking Apache configuration ...      [ OK ]

* Application version scan
   - GnuPG 1.4.5   [ OK ]
   - Apache 2.2.3   [ OK ]
   - Bind DNS 9.3.3rc2   [ OK ]
   - OpenSSL 0.9.8b   [ OK ]
   - PHP 5.1.6   [ OK ]
   - Procmail MTA 3.22   [ OK ]
   - ProFTPd 1.3.0   [ OK ]
   - OpenSSH 4.3p2   [ OK ]



Security advisories
* Check: Groups and Accounts
   Searching for /etc/passwd...   [ Found ]
   Checking users with UID '0' (root)...   [ OK ]

* Check: SSH
   Searching for sshd_config... 
   Found /etc/ssh/sshd_config
   Checking for allowed root login...  Watch out.  Root login possible. Possible risk!
     info: 
     Hint: See logfile for more information about this issue
    Checking for allowed protocols...   [  OK ( Only SSH2 allowed) ]

*  Check: Events and Logging
    Search for syslog configuration...   [  OK ]
    Checking for running syslog slave...   [  OK ]
    Checking for logging to remote system...   [  OK ( no remote logging) ]


----------------------------  Scan results ----------------------------

MD5
 MD5 compared: 0
 Incorrect MD5 checksums: 0

 File scan
 Scanned files: 342
 Possible infected files: 0

 Application scan
 Vulnerable applications: 0

 Scanning took 69 seconds
 Scan results written to logfile (/var/log/rkhunter.log)

[guest]

E' scritto li come fare:

Codice:

Warning: root login possible.  Change for your safety the 'PermitRootLogin'

Devi impostare a false (o 0) il valore presente nel file /etc/ssh/sshd_config

[Uno]

è solo colpa di quella maledetta laurea in economia ...

Voglio scrivere una lettera di protesta alla Gelmini, mica sapevo che al corso di laurea in economia lobotomizzasero l'area informatica del cervello

[salento]

Ad esser preciso noi commercialisti abbiamo il cervello diviso in due: dare ed avere !!

Ma per fortuna io in mezzo ho messo un pò di informatica mischiata con un goccio di Martini.

Perciò per i posteri e per i laureandi in economia riprendo questa citazione:
tratta dal post
http://www.hostingtalk.it/forum/gest...html#post67270

Codice HTML:

Originalmente inviato da servrent                                    

Sarebbe il caso di dirgli che prima deve creare un altro utente che abbia accesso in SSH senza alcun privilegio root.

Che poi modifica l'ssh impedendo il login diretto come root.

E poi ogni volta che accede in ssh prima come utente normale e poi via "su -" passa all'utente root.

Concludendo mi sembra di capire che è una impostazione di default che sarebbe opportuno modificare x aumentare la sicurezza ma ancora non è successo niente, vero ? Ma è proprio necessario farlo ?? Giusto per evitare di fare casini ??
Per il resto il mio primo log a me sembra OK e a voi ?
Cosa mi consigliate ?

[guest]

Si, è una impostazione di default che andrebbe modificata per aumentare la sicurezza.
Ma come han giustamente scritto dell'altro thread (cosa che io ho sbadatamente omesso) devi prima creare un tuo utente non privilegiato, con il quale gestire il server, poi modifichi tale valore nella configurazione. Devi creare l'utente altrimenti ti tagli fuori dalla macchina, il valora infatti disattiva l'accesso via SSH effettuato direttamente come root e se non hai un utente non privilegiato con cui entrare, non entri più sul server

[salento]

Ciao guest, grazie per la risposta, hai confermato i miei dubbi e perfortuna non avevo ancora cambiato il file.
Infatti la mia poca saggezza informatica mi impone di non fare mai cazzate ha mezzanotte, queste potrebbero comprometterti la nottata

Mi succede troppo spesso di arrivare in ufficio come uno zombi !!

Scusa se insisto ma il file di log vi sembra OK ??

[Uno]

Ad esser preciso noi commercialisti abbiamo il cervello diviso in due: dare ed avere !!

So bene come siete fatti, se tu sei anche la ventesima parte del mio commercialista, è già bene che tu possa copia-incollare ciò che ti si scrive

Cosa mi consigliate ?

Ti consiglierei di fregartene del root ma di installare i certificati e disabilitare il login tramite password.... ma come te lo spiego poi?

[guest]

Scusa se insisto ma il file di log vi sembra OK ??

sembra di si, tutto OK tranne l'unico warning dell'accesso root.

[guest]

Ti consiglierei di fregartene del root ma di installare i certificati e disabilitare il login tramite password.... ma come te lo spiego poi?

Bevi un litro di coca-cola poi vediamo se te ne freghi ancora del root

[salento]

So bene come siete fatti, se tu sei anche la ventesima parte del mio commercialista, è già bene che tu possa copia-incollare ciò che ti si scrive

Ti consiglierei ... ma come te lo spiego poi?

Grazie per l'accoglienza Uno.
Sono contentento che già a quest'ora ci sia chi fa del sano umorismo ...

CTRL+C e CTRL+V

quindi sono a più di un ventesimo

Grazie davvero Guest e Buona notte a tutti

[Uno]

Grazie per l'accoglienza Uno.
Sono contentento che già a quest'ora ci sia chi fa del sano umorismo ...

CTRL+C e CTRL+V

quindi sono a più di un ventesimo

Grazie davvero Guest e Buona notte a tutti

Eh no, allora sei meno di un ventesimo del mio commercialista, mica sono sicuro che lui sappia fare CTRL+C e CTRL+V è già perso

Si se passi a quest'ora è facile che si possa scherzare un pò, quello che non ci vorrebbe far scherzare a quest'ora non c'è (e non è uno degli admin, ma non posso dirti chi è )

[FlameNetworks]

Sarebbe ancora meglio autenticarsi con l'utilizzo di chiavi SSL.

[Uno]

Era quello che intendevo io, a quel punto me ne frego se mi loggo con root, anzi risparmio di prendere l'ascensore

[salento]

... è già bene che tu possa copia-incollare ciò che ti si scrive
Ti consiglierei di fregartene del root ma di installare i certificati e disabilitare il login tramite password.... ma come te lo spiego poi?

Anche io ho un briciolo di dignità e la soluzione me la sarei trovata da solo se avessi il tempo, ma nel log degli accessi falliti al sistema tra gli altri di (root) ho trovato anche questo, praticamente mi sembra di capire che qualcuno cerca un force anche con altri account:

Codice HTML:

test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:53 - 12:53  (00:00)
test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:53 - 12:53  (00:00)
test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:53 - 12:53  (00:00)
test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:53 - 12:53  (00:00)
test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:53 - 12:53  (00:00)
test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:53 - 12:53  (00:00)
test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:53 - 12:53  (00:00)
test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:52 - 12:52  (00:00)
test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:52 - 12:52  (00:00)
test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:52 - 12:52  (00:00)
test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:52 - 12:52  (00:00)
test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:52 - 12:52  (00:00)
test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:52 - 12:52  (00:00)
test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:52 - 12:52  (00:00)
test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:52 - 12:52  (00:00)
test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:52 - 12:52  (00:00)
test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:52 - 12:52  (00:00)
test     ssh:notty    116.xxx.xxx.xxx  Wed May 13 12:52 - 12:52  (00:00)

Perciò al diavolo la dignità ...
Vi
almeno un link ad un tutorial (terra terra= entry level in salentino) su come autenticarsi con l'utilizzo di chiavi SSL e metterci un minimo di sicurezza, nell'immediato sono riscito solo ad impostare
LoginGraceTime 30
MaxAuthTries 2
Sperando che sia almeno sufficiente per far prendere tempo...

Thanks
Ma si dai !! su con la vita ! stasera mi sento ottimista, ho già fatto tanto

[guest]

se l'ip è sempre lo stesso, inizia con questo

iptables -I INPUT -s 116.xxx.xxx.xxx -p tcp --dport 22 -j DROP