Security breach?

[mandarinos]

Χθές το πρωΐ ολοκλήρωσα την εγκατάσταση του reverse messaging to LTSP admin, και σήμερα κάνω δοκιμές γιά remote desktop from home με το x2go. Ωστόσο, διαπίστωσα πως είτε υπάρχουν κάποιοι αυτοματισμοί (scripts) στο Σχολικό Δίκτυο sch.gr (και ίσως και στη Google, μιά που χρησιμοποιώ και τον δικό της DNS server, τον 8.8.8.8 ), ή κάποιοι έχουν αϋπνίες! 

Τώρα, το να προσπαθούν να χακάρουν το LTSP του σχολείου μου είναι γελοίο, διότι δεν θα μας κλέψουν, παρά μονάχα τις αναμνήσεις. Η ζημιά θα είναι απλά να διαλύσουν ό,τι έχω στήσει με εκατοντάδες ώρες εκτός διδακτικού ωραρίου... συν το ότι θα χρειαστεί να ξοδέψω κάποιες ώρες (ακόμη και με πρόσφατο backup) να το ξαναστήσω.

Θα ήθελα, όμως, κάποιος να μου πεί (αν ξέρει) τί γίνεται με τα παρακάτω:

Στην εντολή:
tail -f /var/log/teacher_messages.log

Η απάντηση είναι:

[2025-11-12 06:26:07]
[2025-11-12 06:26:18] CONNECT 45.61.137.126:7227 HTTP/1.1
[2025-11-12 06:26:18] Host: 45.61.137.126:7227
[2025-11-12 06:26:18] User-Agent: Python/3.9 python-socks/2.0.3
[2025-11-12 06:26:18]

(Κάθε γραμμή της απάντησης αυτής είναι ακριβώς τα άσχετα μηνύματα, που βλέπω στο message pop-up window εδώ καί δύο ημέρες, όταν το πρωΐ βγάζω τον server από standby mode.)

Ένα ψάξιμο με reverse DNS lookup δεν απέδωσε κάποιο url.

Πάλι, στην εντολή:
sudo systemctl status ssh

Η απάντηση ήταν:

    Loaded: loaded (/usr/lib/systemd/system/ssh.service; disabled; preset: enabled)
    Active: active (running) since Mon 2025-11-10 13:29:37 EET; 1 day 20h ago
TriggeredBy: ● ssh.socket
      Docs: man:sshd( 8 )
            man:sshd_config(5)
  Main PID: 14036 (sshd)
      Tasks: 1 (limit: 9232)
    Memory: 640.0K (peak: 6.3M swap: 1.0M swap peak: 1.1M)
        CPU: 948ms
    CGroup: /system.slice/ssh.service
            └─14036 "sshd: /usr/sbin/sshd -D [listener] 0 of 20-100 startups"

Νοε 11 16:41:12 server sshd[472314]: banner exchange: Connection from 147.185.132.143 port 50461: invalid format
Νοε 11 16:42:14 server sshd[472565]: banner exchange: Connection from 147.185.132.143 port 62524: invalid format
Νοε 11 16:42:14 server sshd[472566]: error: kex_exchange_identification: read: Connection reset by peer
Νοε 11 16:42:14 server sshd[472566]: Connection reset by 147.185.132.143 port 62532
Νοε 11 16:48:00 server sshd[473968]: Connection reset by 147.185.132.143 port 65102 [preauth]
Νοε 12 00:50:24 server sshd[604463]: error: kex_exchange_identification: read: Connection reset by peer
Νοε 12 00:50:24 server sshd[604463]: Connection reset by 199.45.154.125 port 9334
Νοε 12 00:50:46 server sshd[604507]: Connection closed by 199.45.154.125 port 41974 [preauth]
Νοε 12 05:24:01 server sshd[680462]: banner exchange: Connection from 162.216.149.164 port 54160: invalid format
Νοε 12 05:24:08 server sshd[680481]: Connection reset by 162.216.149.164 port 65332 [preauth]

Οι πρώτες 5 γραμμές είναι δικές μου απόπειρες από το σπίτι, να συνδεθώ με Remmina. (Είχα κάνει και παλιότερα απόπειρα να εγκαταστήσω remote desktop στον server του σχολείου, αλλά δεν θυμόμουνα τί ακριβώς είχα κάνει, και απλώς δοκίμασα μήπως πιάσει.)

Οι γραμμές με σημερινή ημερομηνία (12 Νοεμβρίου), και με reverse DNS lookup, δίνουν:

• Η μεν 147.185.132.143 --> https://scanner-201.hk2.censys-scanner.com/
• Η δέ 162.216.149.164 --> https://164.149.216.162.bc.googleusercontent.com/

...Αλλά η απόπειρα να δω από τον browser τις συγκεκριμένες ιστοσελίδες, βγάζει μήνυμα ότι δεν μπορώ να συνδεθώ.

...............................

Εντάξει, αφού δεν έγινε ζημιά, δεν τρέχει τίποτε· άσε που εγκατέστησα και το fail2ban. Αλλά, από σκέτη περιέργεια, γνωρίζει κανείς τί συνέβη;

[George Eco]

Σκέπτομαι μερικά σενάρια, αλλά δυστυχώς δεν έχουμε πολλά πράγματα να δούμε εδώ και δεν έχω και πολύ χρόνο να το κοιτάξω. Τα sockets αυτά από τι χρησιμοποιούνται συνήθως άραγε;

[alkisg]

Το Internet είναι γεμάτο από bots, scanners, AI crawlers κλπ.
Π.χ. στο Στέκι, μέχρι την προηγούμενη βδομάδα, το 70% της κίνησης ερχόταν από AI crawlers της Κίνας, οπότε την μπλόκαρα.
Μια σελίδα για να δείτε την προέλευση της IP είναι η https://www.maxmind.com/en/geoip-demo.

Όποιο σχολείο ανοίγει θύρες ssh (22), http (80), ή https (443), του προτείνω να χρησιμοποιήσει ufw, iptables, ή οτιδήποτε άλλο ώστε να επιτρέπει μόνο την κίνηση από Ελληνικές IP.

Βέβαια η κίνηση δεν θεωρείται "security breach", ο τίτλος είναι λίγο clickbait, breach είναι από τη στιγμή που μπουν στα συστήματά μας, όχι όταν απλά επικοινωνούν.

Btw το x2go είναι αρκετά ξεπερασμένο, καλύτερα RDP ή VNC over SSH.

[mandarinos]

Γι' αυτό έβαλα και το ερωτηματικό στον τίτλο, επειδή δεν ήμουν σίγουρος ούτε αν είναι άνθρωποι ή bots, ούτε τί πάνε να κάνουν.

Αυτό το hk στο url του πρώτου συνδέσμου, με υποψιάζει ότι πρόκειται γιά κάποιον από τους servers της DeepSeek στο Χόνγκ Κόνγκ, που συνδέθηκε αυτόματα μαζί μου, γιά να δεί τί είδους μορφή ζωής εκπέμπει τέτοια μηνύματα!  

Τέλος πάντων, ζημιά δεν έγινε, όλα καλά.