R: Re: Re: Re: Processo bash !! (risolto ma con dubbio )
Maurizio Paolini
paolini a dmf.unicatt.it
Ven 12 Gen 2007 20:19:21 UTC
On Fri, Jan 12, 2007 at 06:50:08PM +0100, Marco Manenti wrote:
> Michele Bonera ha scritto:
>
> >> PS: Lo so Marco ma reinstallare tutto è un bel pacco va bene che salvola
> >> etc e le cartelle di configurazine e basterebbe reinstallare e copiarcela
> >> dentro ed il gioco è fatto, ma reinstallare tutti i programmi diventa una
> >> cosa lunga.Vorrei provare a vedere se riesco a salvare il tutto in caso a
> >> formattare sono sempre in tempo.
> >
> > Penso che la scelta di formattare sia d'obbligo se hanno acquisito i privilegi
> > di superuser...
>
> ribadisco.. piuttosto che perdere tutte queste ore a
> cercare/fare/brigare e' meglio formattare e reinstallare il tutto.. i
Guarda che l'osservazione del Morriz non e' sbagliata; posto che si riesca
a stare ragionevolmente tranquilli che l'intruso *non* e' riuscito a fare un
root escalation, allora tutto lo scenario che descrivi e' sufficientemente
poco plausibile.
Nel caso in questione ritengo che in effetti l'intruso *non* sia riuscito ad
ottenere i privilegi di root, un po' perche' si e' comportato da pirla
cambiando la password dell'utente "sistema", e quindi non e' uno che sa nascondere
a dovere le sue tracce.
mp
> file di configurazione li hai fatti passare tutti? sono tutti sicuri?
> inetd.conf o xinetd o altro sono a posto? non ti hanno toccato hylafax
> che manda fax a tradimento? non ti hanno installato un filtro postfix
> che manda in ccn la tua posta? non ti hanno installato una time-bomb nei
> cron che ti cancella tutto?
>
> insomma: o sei un *manico* e fai passare tutte le configurazioni dei
> servizi per vedere eventuali modifiche altrimenti devi sperare che non
> abbia raggiunto la root e che si sia fermato ad aprire un bot irc
>
> guarda comunque i cron, magari ha messo un cron che se non trova irc
> attivo scarica di nuovo il bot e lo reinstalla...
>
>
>
> marco
>
> --------------------------------------------------------------------------
Maggiori informazioni sulla lista
Lug
|