linux user group brescia
immagine del castello

Archivio della mailing list

sicurezza

Maurizio Paolini paolini a dmf.bs.unicatt.it
Lun 22 Gen 2001 14:10:37 UTC 
> risulta una cosa del genere:
>
>
> eth0      Link encap:Ethernet  HWaddr **:**:**:**:**:**
>           inet addr:192.167.22.***  Bcast:192.167.22.255 Mask:255.255.255.0
>           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
>           RX packets:14225260 errors:280 dropped:0 overruns:324 frame:280
>           TX packets:4496233 errors:0 dropped:0 overruns:0 carrier:29
>           collisions:433012 txqueuelen:100 
>           Interrupt:10 Base address:0x300 
>
> lo        Link encap:Local Loopback  
>           inet addr:127.0.0.1  Mask:255.0.0.0
>           UP LOOPBACK RUNNING  MTU:3924  Metric:1
>           RX packets:576863 errors:0 dropped:0 overruns:0 frame:0
>           TX packets:576863 errors:0 dropped:0 overruns:0 carrier:0
>           collisions:0 txqueuelen:0 
>
>
> eth0:1    Link encap:Ethernet  HWaddr  **:**:**:**:**:**  
>           inet addr:192.167.22.1  Bcast:1.2.3.4  Mask:255.255.255.0
>           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
>           Interrupt:10 Base address:0x300 
>[...]

Orrore!!!

Questo sembra il risultato di uno script fatto apposta per ottenere
quell'effetto!  Sicura che quel server non sia preda di un
"pirata informatico"?  Io controllerei con attenzione se sono stati 
modificati alcuni comandi come: login, ls, ps, netstat;  se hai
una redhat fai "rpm -V" sui pacchetti che includono quei comandi, oltre
a vari altri controlli, tipo cercare directories con nomi strani tipo
"...", che possono trovarsi in "/dev" o in "/var/..."

Infine, qualunque comportamento inusuale puo' essere motivo di sospetto.
(a noi capitava che "ls" facesse vedere lampeggianti anche link simbolici
corretti).

mp

Maggiori informazioni sulla lista Lug