R: Re: Processo bash !! (risolto ma condubbio )
Maurizio Paolini
paolini a dmf.unicatt.it
Ven 12 Gen 2007 10:21:59 UTC
On Fri, Jan 12, 2007 at 09:42:02AM +0100, Luciano Lucini wrote:
>
>
> >cosa c'e' in /var/log ?
> [Luciano] ho ripreso la etc precedente spero ci sia ancora la sua password
> purtroppo non pensando servissero e un po per paura che entrasse di nuovo ho
> cancellato tutto quello che pensavo fosse pericoloso.
>
> Ti mando anche due file auto.net e auto.smb che ho trovato nella etc pensi
> siano pericolosi perché sono gli unici due eseguibili che ci sono.
> Per ora li ho tolti nel caso li rimetto.
Forse ti sei dimenticato qualche attachment, perche' nella tua mail non c'e'
ne' la pwd criptata, e nemmeno i due files di cui parli (che pero' credo
siano innocui)
riguardo a /var/log; non conosco suse, e vedo che la struttura e' un po'
diversa dall'usuale; sembra che per alcuni log ci sia una rotazione settimanale,
e sicuramente sono stati eliminati i messaggi precedenti all'ultima settimana
di dicembre :-(
Comunque prova a cercare tutte le occorrenze di "sistema" in faillog
(dove presumo vengano messi i tentativi di accesso falliti), guarda anche
qual e' la data del primo messaggio per capire su quale periodo sono ancora
disponibili i log.
> -rw------- 1 root root 24072 2007-01-09 11:54 faillog
> -rw-r--r-- 1 root tty 292876 2007-01-12 09:12 lastlog
> -rw-r--r-- 1 root root 12648 2007-01-09 11:26 localmessages
> -rw-r----- 1 root root 3945100 2007-01-12 09:30 messages
> -rw-r----- 1 root root 189673 2006-12-31 15:45 messages-20061231.gz
> -rw-r----- 1 root root 305800 2007-01-06 15:45 messages-20070106.gz
> -rw-r--r-- 1 root root 189438 2006-11-30 15:01 update-messages
> -rw-r----- 1 root root 3603808 2007-01-12 09:30 warn
> -rw-r----- 1 root root 179510 2006-12-30 15:45 warn-20061230.gz
> -rw-r----- 1 root root 252087 2007-01-06 15:45 warn-20070106.gz
Con questa rotazione dei log probabilmente c'e' oramai poco da sperare.
Ma, sinceramente, la precedente password di sistema era abbastanza complicata?
Tieni conto che noi riceviamo quasi ogni notte almeno un tentativo di
intrusione via ssh sui nostri servers; ogni tentativo consiste nel provare
a tappeto login con utente/password presi da database con migliaia di
entries (ho sottomano un esempio un po' datato, 2005, con 4000 entries).
Probabilmente per attacchi verso macchine italiane vengono poi utilizzati
database su misura per l'italiano.
mp
Maggiori informazioni sulla lista
Lug
|