[giuseppebur]

Ciao a tutti
spulciando sui vari log, mi sono imbattutto sull'auth.log in cui ho trovato diverse righe del tipo:

Sep 30 22:23:23 raspberrypi sshd[12191]: Failed password for root from 116.31.116.31 port 53024 ssh2
Sep 30 22:23:25 raspberrypi sshd[12191]: Failed password for root from 116.31.116.31 port 53024 ssh2
Sep 30 22:23:28 raspberrypi sshd[12191]: Failed password for root from 116.31.116.31 port 53024 ssh2
Sep 30 22:23:28 raspberrypi sshd[12191]: Received disconnect from 116.31.116.31 port 53024:11:  [preauth]
Sep 30 22:23:28 raspberrypi sshd[12191]: Disconnected from 116.31.116.31 port 53024 [preauth]

è come se fossi "sotto attacco" da questo ip (116.31.116.31) su diverse porte. Da un ip locate sembra si tratti di un ip cinese

Premetto che ho cambiato la password di default, non ancora la porta ssh ma appena possibile lo faccio... ma che altro posso fare per evitare ciò? sembra comunque un attacco massivo su tutte le porte...

Qualche idea? qualcuno ha avuto lo stesso problema?

Grazie

[Zzed]

Si, ultimamente questi attacchi si sono intentificati. Cercano apparecchi embedded per usare user e password di default e prenderne il controllo per annetterli a enormi Botnet che poi usano per portare attacchi. Ip Cam e DVR sono già stati oggetto di una enorme annessione a una botnet cinese che ha portato molti attacchi a grossi siti e servizi USA e europei (immagina tantissimi dispositivi che tutti insieme bombardano).
È indispensabile cambiare subito la password di default, anche la porta non è una cattiva idea.
Leggi questa nostra guida per approfondire come rendere ragionevolmente sicuro il tuo RaspberryPi.

[giuseppebur]

Ciao Zzed, grazie mille per la risposta.
Ho cambiato la porta ssh e subito sembra essersi bloccato l'attacco. Appena riesco seguo anche il resto delle indicazioni, soprattutto il fw.

Adesso proverò anche a mettere sotto tracciamento l'auth.log e a correlarlo con qualche comando tipo il who per capire gli utenti connessi.