linux user group brescia

Luciano Lucini ha scritto:
> Ringrazio tutti per l'aiuto in effetti un'intruso c'era eran nella
> var/tmp/bot ho controllato il programmino e un BiggieBots (che talaltro
> scorrento i comandi dello stronzo sono riuscito a scaricare dallo stesso
> posto dove li tiene (se volete vi allego l'indirizzo) ho installato rkhunter
> e mi dice che tutto va bene.
> Ma avrei una domanda avendo un router con firewalle d aperte solo le 5 porte
> canoniche e dopo un pc firewall con sempre aperte le stesse porte ed il
> server che ha sua volta ha il proprio firewall come ha fatto ad entrare ?
>
>
> Grazie Luciano 
>
> --------------------------------------------------------------------------
>   
Seppur strano, non è improbabile che abbia sfruttrato qualche bug di 
programmazione in qualcuno dei tuoi processi attivi; non mi è chiaro se 
ha bucato il server con firewall od il pc firewall; in ogni caso: se è 
riuscito ad avviare una sessione bash ( ad esempio) con privilegi di 
root non ha avuto nessun problema a fare quello che ha fatto. Potrebbe 
averli sfruttati utilizzano un exploit di qualche tipo.
Altra cosa: è un grave errore pensare che per proteggersi da "attacchi 
informatici" sia sufficente avere uno o più firewall; occorre cautelarsi 
anche mantenendo aggiornati i programmi installati sui propri pc 
soprattutto se si tratta di demoni aperti verso internet (di "sviste" 
nei codici sorgenti ne trovano tutti i giorni).
Cerca di risalire a cosa è successo, magari qualche traccia nei vari log 
è stata lasciata.