Re: [ml] ssh reverse mapping attack

----- Forwarded message from Iceman <iceman.linux(at)gmail.com> -----
From: Iceman <iceman.linux(at)gmail.com>
To: ml(at)sikurezza.org
Subject: Re: [ml] ssh reverse mapping attack

>
> reverse mapping checking getaddrinfo for XXXXXXXXXX.com.tr
> [XX.XXX.XX.XXX] failed - POSSIBLE BREAK-IN ATTEMPT!
>

Nessun tentativo di attaco, tranquillo. E' solo il lavoro cui ? preposto (di
default) il demone SSH.
Il servizio tenta di poggiarsi alle reverse zone dei DNS per trovare una
corrispondenza tra indirizzo IP e nome di dominio; se non** ci fosse la
corrispondenza inversa (reverse mapping) dell'indirizzo IP tramite la zona
in-addr.arpa il server sarebbe incapace di scoprire il nome.

Alcuni sostengono che il mapping del lookup inverso ? importante solo per i
server, o per nulla importante. Non ? cos?: molti server FTP, News, IRC e
anche qualche server HTTP non** accetteranno connessioni da macchine per le
quali non riescono a trovare il nome. E cos? il mapping inverso diventa di
fatto *obbligatorio*.
Puoi comunque disabilitare tale funzionalit? (a tua discrezione) del tuo
server SSH settando queste direttive nel file di cofigurazione (es.
/etc/ssh/sshd_config):

ReverseMappingCheck no
VerifyReverseMapping no

-- 
Santino Nocera
IT Security Analyst &
Co-Founder Losis Community
http://www.losis.org


----- End forwarded message -----