linux user group brescia

On Fri, Jan 12, 2007 at 06:50:08PM +0100, Marco Manenti wrote:
> Michele Bonera ha scritto:
> 
> >> PS: Lo so Marco ma reinstallare tutto è un bel pacco va bene che salvola
> >> etc e le cartelle di configurazine e basterebbe reinstallare e copiarcela
> >> dentro ed il gioco è fatto, ma reinstallare tutti i programmi diventa una
> >> cosa lunga.Vorrei provare a vedere se riesco a salvare il tutto in caso a
> >> formattare sono sempre in tempo.
> > 
> > Penso che la scelta di formattare sia d'obbligo se hanno acquisito i privilegi 
> > di superuser...
> 
> ribadisco.. piuttosto che perdere tutte queste ore a
> cercare/fare/brigare e' meglio formattare e reinstallare il tutto.. i

Guarda che l'osservazione del Morriz non e' sbagliata; posto che si riesca
a stare ragionevolmente tranquilli che l'intruso *non* e' riuscito a fare un
root escalation, allora tutto lo scenario che descrivi e' sufficientemente
poco plausibile.

Nel caso in questione ritengo che in effetti l'intruso *non* sia riuscito ad
ottenere i privilegi di root, un po' perche' si e' comportato da pirla 
cambiando la password dell'utente "sistema", e quindi non e' uno che sa nascondere
a dovere le sue tracce.

mp

> file di configurazione li hai fatti passare tutti? sono tutti sicuri?
> inetd.conf o xinetd o altro sono a posto? non ti hanno toccato hylafax
> che manda fax a tradimento? non ti hanno installato un filtro postfix
> che manda in ccn la tua posta? non ti hanno installato una time-bomb nei
> cron che ti cancella tutto?
> 
> insomma: o sei un *manico* e fai passare tutte le configurazioni dei
> servizi per vedere eventuali modifiche altrimenti devi sperare che non
> abbia raggiunto la root e che si sia fermato ad aprire un bot irc
> 
> guarda comunque i cron, magari ha messo un cron che se non trova irc
> attivo scarica di nuovo il bot e lo reinstalla...
> 
> 
> 
> marco
> 
> --------------------------------------------------------------------------