R: Re: Processo bash !! (risolto ma con dubbio )
Maurizio Paolini
paolini a dmf.unicatt.it
Mer 10 Gen 2007 12:08:24 UTC
On Tue, Jan 09, 2007 at 05:37:33PM +0100, Luciano Lucini wrote:
> >
> >insomma cerca nei log e dovresti trovare qualcosa.
> >
> [Luciano] e cosa cerco ;-) nei log trovi di tutto e di piĆ¹ o guardato ma con
> la mia poca esperienza non ho visto niente di insolito o perlomeno che
> riesca a farmi pensare da dove sia entrato.
Un buon punto di partenza e' andare a guardare che data di creazione
hanno le directories e i files installati dal tizio; e' probabile
che lo "sfondamento" sia avvenuto non molto prima.
Le date in questione possono essere falsificate, ma e' raro che
questo venga fatto.
Una accortezza (ma forse e' oramai troppo tardi) e' quella di fare un
dump fisico delle partizioni della macchina su cui poi lavorarci in
modalita' readonly (con un "loop mount", ad esempio); in questo
modo si eviterebbe di modificare le date di accesso ai files durante
il processo di analisi; inoltre con ricerche a basso livello si
possono anche recuperare dati in files successivamente cancellati
dal tizio.
Stai *molto* attento; se non riesci a capire come e' entrato sei
sempre a rischio; inoltre una macchina su cui e' transitato un
malintenzionato di per se andrebbe reinstallata, poiche' e' possibile
che siano stati manomessi vari eseguibili di uso comune (ls, cd, ...).
Su una suse suppongo si possa fare un controllo di integrita' usando
"rpm", sempre che l'eseguibile "rpm" sia integro...
Sto parlando con cognizione di causa, poiche' queste sono cose che
a noi sono successe (qualche anno fa).
Maurizio
Maggiori informazioni sulla lista
Lug
|
