R: Processo bash !! (risolto ma con dubbio )
Alberto
alberto.campagnari a garda-dance-center.it
Lun 8 Gen 2007 18:38:43 UTC
Luciano Lucini ha scritto:
> Ringrazio tutti per l'aiuto in effetti un'intruso c'era eran nella
> var/tmp/bot ho controllato il programmino e un BiggieBots (che talaltro
> scorrento i comandi dello stronzo sono riuscito a scaricare dallo stesso
> posto dove li tiene (se volete vi allego l'indirizzo) ho installato rkhunter
> e mi dice che tutto va bene.
> Ma avrei una domanda avendo un router con firewalle d aperte solo le 5 porte
> canoniche e dopo un pc firewall con sempre aperte le stesse porte ed il
> server che ha sua volta ha il proprio firewall come ha fatto ad entrare ?
>
>
> Grazie Luciano
>
> --------------------------------------------------------------------------
>
Seppur strano, non è improbabile che abbia sfruttrato qualche bug di
programmazione in qualcuno dei tuoi processi attivi; non mi è chiaro se
ha bucato il server con firewall od il pc firewall; in ogni caso: se è
riuscito ad avviare una sessione bash ( ad esempio) con privilegi di
root non ha avuto nessun problema a fare quello che ha fatto. Potrebbe
averli sfruttati utilizzano un exploit di qualche tipo.
Altra cosa: è un grave errore pensare che per proteggersi da "attacchi
informatici" sia sufficente avere uno o più firewall; occorre cautelarsi
anche mantenendo aggiornati i programmi installati sui propri pc
soprattutto se si tratta di demoni aperti verso internet (di "sviste"
nei codici sorgenti ne trovano tutti i giorni).
Cerca di risalire a cosa è successo, magari qualche traccia nei vari log
è stata lasciata.
Maggiori informazioni sulla lista
Lug
|