linux user group brescia
immagine del castello

Archivio della mailing list

R: Processo bash !! (risolto ma condubbio )

Luciano Lucini luciano a smapfil.it
Gio 11 Gen 2007 15:10:11 UTC 
>
>Fatto 1: sulla macchina c'erano dei processi "cattivi" che giravano come
>utente
>"sistema" (giusto?)
>
>Fatto 2: nella history hai trovato comandi "innocui"
>
>Conclusione: I comandi *non* erano innocui, oppure sono state cancellate le
>tracce di quello che il tizio ha fatto.  Ergo *non* puoi concludere
>granche'
>dalla history.

>
>Errore 1: *non* fare un dump della partizione appena trovato il problema;
>ora le tracce che puoi trovare sono drasticamente ridotte, e si riducono
>vieppiu' man mano che il tempo passa.

[Luciano] 
A saperlo prima ...:-)) sinceramente non so cosa sia il dump (se non erro รจ
una copia o immagine) 
>
>Errore 2: confidare troppo in un firewall
>
>Errore 3: usare una password facile per l'utente "sistema" (ho infatti il
>sospetto che l'intrusione sia stata una banale connessione ssh)
>
>Non e' che hai dato un'occhiata in /var/log/secure, o perlomeno in
>/var/log/messages;
>o anche in /var/log/wtmp ?


[Luciano] 
Nella mia macchina esiste solo /var/log/message 


>
>Non avere nemmeno una pallida idea di quando questo sia entrato e' un bel
>problema, se e' successo tanto tempo fa probabilmente i log importanti sono
>stati ruotati via.
>
>Altra cosa: evidentemente 'sto tizio stava facendo attivita' non legittima
>utilizzando
>la tua macchina nei confronti di terzi.  Ricorda che tu sei in qualche modo
>corresponsabile
>di eventuali danni provocati a terzi; non prendere troppo alla leggera
>quanto sta
>succedendo!

[Luciano] 
Assolutamente ...sto solo capendo cosa sia successo e cercando di metterci
una pezza (convinto che formattare sia la cosa migliore ma mi serve tempo
per preparare una macchina in dmz che faccia da web-posta-ftp)pper non
rimanere completamente a piedi poi sistemo l'altra solo per i dati e il
resto.
>
>Ripescando una vecchia tua mail:
>> [Luciano] utente sistema creato da me pertanto non penso abbia fatto
>danni
>> grossi ha scritto solo nella /var/tmp il resto mi pare tutto regolare
>> l'unica volta che mi ?successo mi aveva cambiato tutte le password questa
>> volta solo quella dell'utente sistem
>
>Ha cambiato la password dell'utente su cui e' entrato ?!? Mandami la
>versione
>criptata della nuova password, che forse so chi e' stato...
>
[Luciano] 
Facile a dirsi .... basta sapere come si fa :-)
E qui comincia la crisi di ignoranza abissale ,lo sapevo che avei dovuto
continuare a studiare..lo diceva anche mia mamma.

Maggiori informazioni sulla lista Lug