[Tech] Intruderrrrr!

[Marco Ermini]

Carlo Orecchia wrote:
> 
> tech-admin@firenze.linux.it ha scritto:
> 
> > Te lo buca ripetutamente, nel senso che tu lo reinstalli e lui puntualmente
> > rientra, oppure entra ripetutamente in una macchina
> > gia' compromessa usando qualche backdoor?
> 
> Mi sembra che entri da ftp, perchè insieme a HTTP e SMTP è l'unico servizio
> abilitato all'esterno. La macchina è sempre la stessa, lui rientra dopo qualche
> tempo, probabilmente se ne ha voglia e tempo. Per un po' è stato calmo...

SMTP dovresti assolutamente chiuderlo, non vedo il motivo di creare un relay
per tutto il mondo. Io chiuderei anche ftp, se non ti serve. A livello di
router.


> > reinstalla la macchina correggendo la
> > vulnerabilita'. Se questo ti risulta infattibile, la cosa e' piu'
> > problematica.
> 
> Ho pensato di comprare un secondo disco, tanto mi serve comunque, e reinstallare
> il sistema operativo lì sopra.

Non credo sia necessario reinstallare tutto: i gestori di pacchetti di tutte
le distribuzioni hanno la possibilita' di fare un checksum sui file. La cosa
importante e' che tu sia sicuro che http, ftp e smtp siano "originali" visto
che sono i servizi che hai aperto verso l'esterno. Per sicurezza, reinstalla
anche il kernel, e cancella, se ce li hai, i sorgenti del kernel dalla
macchina


> Era pianificato, ma questo purtroppo dipende anche dai lavori che si fanno
> internamente, di separare la rete interna da qulle esterna con l'assegnazione di
> una serie di indirizzi privati di tipo 192.168.0.0 ma dovrò studiarmi un po' la
> cosa, quasi quasi ci proverei oggi...

E' la cosa migliore. Metti due NIC sulla macchina che ha accesso all'esterno
(sempre se non e' quella su cui hai messo 4 schede di rete, se non ricordo
male??)


ciao ciao ciao

-- 
Marco Ermini
http://www.markoer.org
There are two major products that come out of Berkeley: LSD and UNIX.
We don't believe this to be a coincidence.      -- Jeremy S. Anderson