linux user group brescia

On Thu, Jan 11, 2007 at 11:41:04AM +0100, Luciano Lucini wrote:
> 
> [Luciano] non penso perché le uniche cartelle dove l'utente sistema poteva
> scrivere erano e sono la /tmp e la var/tmp nella history di root non ci sono
> comandi estranei (bene o male me li ricordo tutti quelli che uso) 

Fatto 1: sulla macchina c'erano dei processi "cattivi" che giravano come utente
"sistema" (giusto?)

Fatto 2: nella history hai trovato comandi "innocui"

Conclusione: I comandi *non* erano innocui, oppure sono state cancellate le
tracce di quello che il tizio ha fatto.  Ergo *non* puoi concludere granche'
dalla history.

Errore 1: *non* fare un dump della partizione appena trovato il problema;
ora le tracce che puoi trovare sono drasticamente ridotte, e si riducono
vieppiu' man mano che il tempo passa.

Errore 2: confidare troppo in un firewall

Errore 3: usare una password facile per l'utente "sistema" (ho infatti il
sospetto che l'intrusione sia stata una banale connessione ssh)

Non e' che hai dato un'occhiata in /var/log/secure, o perlomeno in /var/log/messages;
o anche in /var/log/wtmp ?

Non avere nemmeno una pallida idea di quando questo sia entrato e' un bel
problema, se e' successo tanto tempo fa probabilmente i log importanti sono
stati ruotati via.

Altra cosa: evidentemente 'sto tizio stava facendo attivita' non legittima utilizzando
la tua macchina nei confronti di terzi.  Ricorda che tu sei in qualche modo corresponsabile
di eventuali danni provocati a terzi; non prendere troppo alla leggera quanto sta
succedendo!

Ripescando una vecchia tua mail:
> [Luciano] utente sistema creato da me pertanto non penso abbia fatto danni
> grossi ha scritto solo nella /var/tmp il resto mi pare tutto regolare
> l'unica volta che mi �successo mi aveva cambiato tutte le password questa
> volta solo quella dell'utente sistem

Ha cambiato la password dell'utente su cui e' entrato ?!? Mandami la versione
criptata della nuova password, che forse so chi e' stato...

mp