linux user group brescia

Luciano Lucini ha scritto:
>>> la 32xxx tcp e la 32xxx udp che non mi risulta dal listato di lsof -i -P
>> ma
> Ora non le vedi piu aperte le ho chiuse con un 
> iptables -A INPUT -p udp --dport 32768 -i eth0 -j DROP
> iptables -A INPUT -p tcp --dport 32774 -i eth0 -j DROP
con iptables non chiudi le porte, semplicementi bruci i pacchetti a loro
indirizzati prima che ci arrivino... il risultato è lo stesso, ma con
netstat DOVRESTI vedere lo stesso output di lsof -i -P, o perlomeno un
risultato coerente

prova:

lsof -i -P | grep LISTEN

e

netstat -ltpn

se i risultati nn sono coerenti allora probabilmente l'eseguibile
netstat è stato sostituito con uno apposito a nascondere certe cose (è
una delle prime azioni modificare gli strumenti di analisi in un sistema
compromesso... come nei film di 10 anni fa mettevano la fotografia della
stanza appesa a 10 cm della telecamera di sicurezza :) ).

Altra cosa: se su quella macchina sta girando un kernel con SElinux
attivo (o RSBAC et similia) dubito abbiano potuto fare molto oltre che
aprire qualche socket... ma se effettivamente l'eseguibile netstat è
stato modificato qualche privilegio se l'è guadagnato.

in caso nn ti fidassi del tuo netstat, qui ti ho compilato un eseguibile
statico di netstat lo puoi recuperare con:

wget http://www.nicola.mondinelli.name/netstat.bz2 -O - | bzcat -d > netstat
chmod 755 netstat
./netstat -ltpn

ovviamente quello che ti sto dicendo di fare è di eseguire un programma
. Ti tocca scegliere se credermi sulla parola o no. sentiti libero di
fare come vuoi, se vuoi è lì.

Se reinstalli la macchina, dai un occhio ai servizi di cui puoi fare a
meno, da quanto nmap rivela, sembra proprio che ce ne siano decisamente
tanti, tipo *:631... sicuro che cups ti serva che ascolti in rete e non
solo sulla loopback? dato che hai samba perchè non ti appoggi
direttamente a samba per la condivisione della stampante?

la 10000 non è mica webmin? webmin è un programma molto utile, ma non è
raro trovare falle di sicurezza al suo interno facilmente sfruttabili.
Magari utilizzalo dentro un tunnel ssh o un tunnel ipSec o OpenVpn...
alla peggio anche un stunnel...

ftp lo usi? se lo usate in pochi, magari sarebbe comodo appoggiarsi a
sftp sotto ssh con winscp...

Non mi ricordo chi l'ha consigliato, ma AIDE è una scelta necessaria
(una tra le tante) per sistemi in produzione, non avere strumenti IDS
sotto mano risulta essere molto snervante quando si analizza l'intrusione.

se riesci a trovare un file aggiunto palesemente dall'attaccante (tipo
l'eseguibile che apre il socket) fai uno stat e segna il tempo di
creazione o di modifica, se non è stato molto furbo allora quella sarà
pressapoco il periodo dell'intrusione che hai subito. Ricerca nei log di
sistema e dei servizi aperti gli  accessi di quel periodo, probabilmente
qualcosa di anomalo potresti trovare, se hanno provato a sfondarti
tramite PHP, è quasi certo che troverai nell'access.log richieste HTTP
lunghe 200 caratteri molto strane che palesano l'intrusione.

buon lavoro e buona fortuna
scusate la lunghezza

bye

NM