sicurezza
Maurizio Paolini
paolini a dmf.bs.unicatt.it
Lun 22 Gen 2001 18:12:39 UTC
> On Mon, Jan 22, 2001 at 04:06:58PM +0100, meti wrote:
> > Questo รจ il classico effetto che succede quando viene caricato il
> > "mirkforce" su un qualsiasi server, questo programma crea una miriade di
> > cloni che vengono utilizzati in ircwar per takkare dei canali"appropriandosi"
> > di tutti gli ip della subnet del server bucato.
>
> allora c'e` stato un root comprimise. l'unica mossa sensata, in questo
> caso, e` brasare via tutto e reinstallare da zero (preoccupandosi di
> preservare soltanto i dati ovviamente).
>[...]
da una precedente mail mi pare si trattasse di una redhat 6.2.
Inoltre c'era attivo nfs, nis, e altro. Sicuramente quindi sara'
attivo il servizio "statd" (nfslock). Ora e' ben noto che rpc.statd
e' bucabile, a meno di non aggiornare il pacchetto rpm con gli ultimi
updates.
Qui in cattolica ogni due o tre giorni c'e' qualcuno che prova a bucare
le nostre macchine usando un "buffer overflow" su rpc.statd, e su
wu-ftpd. Basta guardare in /var/log/messages e cercare messaggi strani
con stringhe insensate (che poi sono la versione ascii di un programmino
in linguaggio macchina).
Consiglierei (oltre ai consigli di Gelmini) di contattare il cert-it
(cert a garr.it). Prima di "brasare" tutto sarebbe utile tentare di
ricavare piu' informazioni possibili sull'attacco, in modo da cercare
di capirne la provenienza. Di solito l'attaccante si premura di
cancellare le tracce piu' evidenti, ma spesso delle ricerche "a basso
livello" basate su "strings /dev/hdaxxx" porta a recuperare alcuni
degli scripts utilizzati.
Inoltre, oltre a quanto detto da Gelmini, e' bene tener presente che
molto spesso vengo attivati degli sniffer sulla macchina attaccata,
e quindi sono in pericolo eventuali password che giravano in rete locale
se erano in chiaro: uso di telnet, ftp, pop3 (ad esempio).
Tutto quanto sto dicendo si basa su esperienza personale!
mp
Maggiori informazioni sulla lista
Lug
|
