R: Re: Re: Re: Re: Processo bash !! (risolto ma con dubbio )
marco ghidinelli
marcogh a linux.it
Gio 11 Gen 2007 09:40:04 UTC
On Thu, Jan 11, 2007 at 09:30:02AM +0100, Luciano Lucini wrote:
> >
> >Riassumendo, se ti hanno sfondato la macchina vuol dire che hai un
> >problema. Se non trovi il problema ti risfonderanno la macchina, mi
> >sembra ovvio.
> >La reinstallazione e' d'uopo se chi ha sfondato la macchina e' riuscito
> >ad acquisire i privilegi di root, potendo quindi manomettere varie parti
> >del sistema.
> >
> [Luciano]
> Non penso abbia preso i privilegi di root anche perché ho guardato nella
> history dei comandi usati da lui e ha praticamente con wget scaricato un
> programma e lo ha scompattato nella /var/tmp e installato e basta non ho
> trovato comandi strani in tutto erano una 30na di righe.
se hai l'accesso come root ci sono un sacco di programmi che vanno a
togliere da tutti i log e da tutte le history tutti gli eventi successi
negli ultimi N minuti, cancellando quindi le evidenze di un accesso non
autorizzato.
ergo, se sono entrati come root cercare nei log non serve a molto.
p.s. la cosa bella sarebbe avere un log server, non accessibile da rete
se non per ricevere i log dai syslog remoti (si puo' anche mettere in
modalita' sniffing e quindi senza nemmeno un indirizzo di rete
configurato: sniffa solo i pacchetti di log.
--
BOFH excuse #237:
Plate voltage too low on demodulator tube
Maggiori informazioni sulla lista
Lug
|
