linux user group brescia
immagine del castello

Archivio della mailing list

R: Re: Processo bash !! (risolto ma condubbio )

Maurizio Paolini paolini a dmf.unicatt.it
Ven 12 Gen 2007 10:21:59 UTC 
On Fri, Jan 12, 2007 at 09:42:02AM +0100, Luciano Lucini wrote:
> 
> 
> >cosa c'e' in /var/log ?
> [Luciano] ho ripreso la etc precedente spero ci sia ancora la sua password
> purtroppo non pensando servissero e un po per paura che entrasse di nuovo ho
> cancellato tutto  quello che pensavo fosse pericoloso.  
> 
> Ti mando anche due file auto.net e auto.smb che ho trovato nella etc pensi
> siano pericolosi perché sono gli unici due eseguibili che ci sono.
> Per ora li ho tolti nel caso li rimetto.

Forse ti sei dimenticato qualche attachment, perche' nella tua mail non c'e'
ne' la pwd criptata, e nemmeno i due files di cui parli (che pero' credo
siano innocui)

riguardo a /var/log; non conosco suse, e vedo che la struttura e' un po'
diversa dall'usuale; sembra che per alcuni log ci sia una rotazione settimanale,
e sicuramente sono stati eliminati i messaggi precedenti all'ultima settimana
di dicembre :-(

Comunque prova a cercare tutte le occorrenze di "sistema" in faillog
(dove presumo vengano messi i tentativi di accesso falliti), guarda anche
qual e' la data del primo messaggio per capire su quale periodo sono ancora
disponibili i log.

> -rw-------   1 root   root      24072 2007-01-09 11:54 faillog
> -rw-r--r--   1 root   tty      292876 2007-01-12 09:12 lastlog
> -rw-r--r--   1 root   root      12648 2007-01-09 11:26 localmessages
> -rw-r-----   1 root   root    3945100 2007-01-12 09:30 messages
> -rw-r-----   1 root   root     189673 2006-12-31 15:45 messages-20061231.gz
> -rw-r-----   1 root   root     305800 2007-01-06 15:45 messages-20070106.gz
> -rw-r--r--   1 root   root     189438 2006-11-30 15:01 update-messages
> -rw-r-----   1 root   root    3603808 2007-01-12 09:30 warn
> -rw-r-----   1 root   root     179510 2006-12-30 15:45 warn-20061230.gz
> -rw-r-----   1 root   root     252087 2007-01-06 15:45 warn-20070106.gz

Con questa rotazione dei log probabilmente c'e' oramai poco da sperare.
Ma, sinceramente, la precedente password di sistema era abbastanza complicata?
Tieni conto che noi riceviamo quasi ogni notte almeno un tentativo di
intrusione via ssh sui nostri servers; ogni tentativo consiste nel provare
a tappeto login con utente/password presi da database con migliaia di
entries (ho sottomano un esempio un po' datato, 2005, con 4000 entries).
Probabilmente per attacchi verso macchine italiane vengono poi utilizzati
database su misura per l'italiano.

mp

Maggiori informazioni sulla lista Lug