linux user group brescia

Ciao, da quello che ancora trovato su un server hackerato nella nostra
server farm, Un certo hacker francese di nome alex è entrato sulla
macchina tramite una vulnerabilità di apache si è elevato a root ha
installato un rootkit che apriva una backdoor (sull'ssh chiamato anche
shellcode), eludendo i comansi ps, netstat, ifconfig ha installato nella
directory temp un paccketto di exploits (più di uno) che tramite degli
script coniati da lui prendevano in pasto reti di classe A repplicava
l'exploit in maniera metodica inserendo in un file di testo gli IP
vulnerabili. Perciò il "furbo" lanciava lo script se ne andava, contento
di esser su una testa di ponte, tornava sulla macchina tramite accessi
privilegiati, e controllava il prossimo server dove poter risiedere e
lanciare ancora il suo "stupido giochetto".
Per qusta indagine mi è servita molto una distribuzione live : F.I.R.E.
Utile per "L'arte dell'investigazione forense".

Consiglio se qualcuno volesse vedere il massimo dei siti di exploits
packetstormsecurity.nl mirror olandese del sito antologico di expolits.

Ciao

pillo

Il lun, 2004-10-25 alle 20:29, Luca Coianiz ha scritto:
> On Mon, 25 Oct 2004, Manuel wrote:
> >3 IP diversi...senza darvi tutto il log (altrimenti mi uccidete) è stato
> >usato l'utente patrick, rolo, cyrus, www-data, jane, test, cosmin, root
> >ed altri ancora.
> >computer (e vuole anche il mio server di posta), oppure è una prassi di
> >qualche scriptino fotocopia che hanno tutti i cazzoni in giro per il
> >mondo con tanto tempo libero?
> 
>  Confermo: ultimamente stessi user per attacchi su SSH.
>  Ho provato a mia volta a seguire l'attaker ma... non sono molto bravo come
> hacker :DDDDD
>  Comunque l'impressione è dello script che esegue un loop.
> 
> 	LC
> 
>