linux user group brescia

>prova:
>
>lsof -i -P | grep LISTEN
>
>e
>
>netstat -ltpn
>

[Luciano] 
Sono uguali 'l'unica differenza è una porta 4733 che comunque esiste anche
con il tuo comando.

>
>Se reinstalli la macchina, dai un occhio ai servizi di cui puoi fare a
>meno, da quanto nmap rivela, sembra proprio che ce ne siano decisamente
>tanti, tipo *:631... sicuro che cups ti serva che ascolti in rete e non
>solo sulla loopback? dato che hai samba perchè non ti appoggi
>direttamente a samba per la condivisione della stampante?

[Luciano] 
Vero ,Vedo che posso fare ,lo posso anche togliere lo uso tanto poco. 
>
>la 10000 non è mica webmin? webmin è un programma molto utile, ma non è
>raro trovare falle di sicurezza al suo interno facilmente sfruttabili.
>Magari utilizzalo dentro un tunnel ssh o un tunnel ipSec o OpenVpn...
>alla peggio anche un stunnel...
[Luciano] 
Webmin è gia in ambiente sicuro mi collego con https:// sulla 443 mi
spiacerebbe non usarlo , va be che potrei attivarlo tramite ssh quando mi
serve (sempre meno perché man mano che sto imparando uso sempre di piu la
riga di comando)


>
>ftp lo usi? se lo usate in pochi, magari sarebbe comodo appoggiarsi a
>sftp sotto ssh con winscp...
>
Uso pure-ftp ma con quello ho dei problemi a configurare l'accesso
autorizzato con l'anonimo va bene con i virtual user no riesco a farlo
andare, se avete qualche altro ftp buono da consigliare lo provo ma mi serve
per dare i listini agli agenti passando da un sito normale a uno sicuro e
poi all'area ftp (ma penso che se faccio dei link su sito per  ogni oggetto
forse è meglio , più carino e sicuro ma scomodo da aggiornare) 
[Luciano] 

>Non mi ricordo chi l'ha consigliato, ma AIDE è una scelta necessaria
>(una tra le tante) per sistemi in produzione, non avere strumenti IDS
>sotto mano risulta essere molto snervante quando si analizza l'intrusione.
>
>se riesci a trovare un file aggiunto palesemente dall'attaccante (tipo
>l'eseguibile che apre il socket) fai uno stat e segna il tempo di
>creazione o di modifica, se non è stato molto furbo allora quella sarà
>pressapoco il periodo dell'intrusione che hai subito. Ricerca nei log di
>sistema e dei servizi aperti gli  accessi di quel periodo, probabilmente
>qualcosa di anomalo potresti trovare, se hanno provato a sfondarti
>tramite PHP, è quasi certo che troverai nell'access.log richieste HTTP
>lunghe 200 caratteri molto strane che palesano l'intrusione.


Come gia detto il file li ho trovati e copiati nel mio pc per analizzarli
poi dal server ho cancellato tutto.
[Luciano] 


Grazie per i molteplici consigli e la pazienza... :-)) 
-------------- parte successiva --------------
È stato filtrato un testo allegato il cui set di caratteri non era
indicato...
Nome: netstat_compilato.txt
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20070111/fb3bd589/attachment.txt>