R: Re: Re: Re: Processo bash !! (risolto ma con dubbio )
nicola mondinelli
nicola.mondinelli a yoda2000.net
Gio 11 Gen 2007 00:44:33 UTC
Luciano Lucini ha scritto:
>>> la 32xxx tcp e la 32xxx udp che non mi risulta dal listato di lsof -i -P
>> ma
> Ora non le vedi piu aperte le ho chiuse con un
> iptables -A INPUT -p udp --dport 32768 -i eth0 -j DROP
> iptables -A INPUT -p tcp --dport 32774 -i eth0 -j DROP
con iptables non chiudi le porte, semplicementi bruci i pacchetti a loro
indirizzati prima che ci arrivino... il risultato è lo stesso, ma con
netstat DOVRESTI vedere lo stesso output di lsof -i -P, o perlomeno un
risultato coerente
prova:
lsof -i -P | grep LISTEN
e
netstat -ltpn
se i risultati nn sono coerenti allora probabilmente l'eseguibile
netstat è stato sostituito con uno apposito a nascondere certe cose (è
una delle prime azioni modificare gli strumenti di analisi in un sistema
compromesso... come nei film di 10 anni fa mettevano la fotografia della
stanza appesa a 10 cm della telecamera di sicurezza :) ).
Altra cosa: se su quella macchina sta girando un kernel con SElinux
attivo (o RSBAC et similia) dubito abbiano potuto fare molto oltre che
aprire qualche socket... ma se effettivamente l'eseguibile netstat è
stato modificato qualche privilegio se l'è guadagnato.
in caso nn ti fidassi del tuo netstat, qui ti ho compilato un eseguibile
statico di netstat lo puoi recuperare con:
wget http://www.nicola.mondinelli.name/netstat.bz2 -O - | bzcat -d > netstat
chmod 755 netstat
./netstat -ltpn
ovviamente quello che ti sto dicendo di fare è di eseguire un programma
. Ti tocca scegliere se credermi sulla parola o no. sentiti libero di
fare come vuoi, se vuoi è lì.
Se reinstalli la macchina, dai un occhio ai servizi di cui puoi fare a
meno, da quanto nmap rivela, sembra proprio che ce ne siano decisamente
tanti, tipo *:631... sicuro che cups ti serva che ascolti in rete e non
solo sulla loopback? dato che hai samba perchè non ti appoggi
direttamente a samba per la condivisione della stampante?
la 10000 non è mica webmin? webmin è un programma molto utile, ma non è
raro trovare falle di sicurezza al suo interno facilmente sfruttabili.
Magari utilizzalo dentro un tunnel ssh o un tunnel ipSec o OpenVpn...
alla peggio anche un stunnel...
ftp lo usi? se lo usate in pochi, magari sarebbe comodo appoggiarsi a
sftp sotto ssh con winscp...
Non mi ricordo chi l'ha consigliato, ma AIDE è una scelta necessaria
(una tra le tante) per sistemi in produzione, non avere strumenti IDS
sotto mano risulta essere molto snervante quando si analizza l'intrusione.
se riesci a trovare un file aggiunto palesemente dall'attaccante (tipo
l'eseguibile che apre il socket) fai uno stat e segna il tempo di
creazione o di modifica, se non è stato molto furbo allora quella sarà
pressapoco il periodo dell'intrusione che hai subito. Ricerca nei log di
sistema e dei servizi aperti gli accessi di quel periodo, probabilmente
qualcosa di anomalo potresti trovare, se hanno provato a sfondarti
tramite PHP, è quasi certo che troverai nell'access.log richieste HTTP
lunghe 200 caratteri molto strane che palesano l'intrusione.
buon lavoro e buona fortuna
scusate la lunghezza
bye
NM
Maggiori informazioni sulla lista
Lug
|