[Tech] help! problemi con telnet

Claudio Cicali c.cicali@mclink.it
Lun 12 Feb 2001 14:45:28 CET


In data 12:04 PM 2/12/01 +0100, Franco Bagnoli ha scritto:
>On Mon, 12 Feb 2001, Gianni Bianchini wrote:
>
> > On Mon, Feb 12, 2001 at 10:10:56AM +0100, Franco Bagnoli wrote:
> >
> > > L'accesso via telnet genera un messaggio : Authentication failure
> > > (come se avessi messo la password sbagliata,
> >
> > Non e' una risposta del programma login. Deve essere un problema di
> > PAM, infatti:
> >
> > lyapu:/bin> strings login |grep Authentication
> > lyapu:/bin>
> >
> > lyapu:/lib> strings libpam.so.0 |grep Authentication
> > Authentication failure
>
>Allora, direi di aver scoperto alcune cose:
>
>1) il messaggio era originato da login (magari attraverso la libpam).
>2) /bin/login e' usato da telnet e getty, ma non da ftp, ssh, imap, ecc.
>3) il casino e' stato fatto da un rootkit t0rnkit (e quindi da una
>   intrusione, ancora non ho capito bene da dove, ma probabilmente
>   via rpc.statd)

Per la cronaca:
ieri sera, circa alle 23,  ho avuto lo stesso attacco su una connessione
dialup che uso a casa, scaturito dal signor ppp-<qualcosa>.libero.it
Tentativo di connessione telnet (che non ho...) e poi qualche strano
tentativo su statd (porta 3167 o qualcosa del genere).
Mi sono arrivate stringhe lunghissime di caratteri assurdi...

Script kiddies del piffero...


+-------------------+----------------------+
|  Claudio Cicali   | http://www.flexer.it |
|c.cicali@mclink.it |    Nerd Made Good    |
+-------------------+----------------------+





Maggiori informazioni sulla lista flug-tech