[Tech] quanto sicuro è /bin/false ?

alessio chemeri alessio.chemeri@gmail.com
Gio 27 Mar 2008 13:51:34 CET


condivido in pieno,
una volta che il simpatico cracker ha avuto modo di aggeggiarci dentro e' quasi
impossibile salvare la macchina da future intrusioni con manovre cosi'
semplici..
potrebbe veramente averti messo di tutto dentro o fatto di tutto..

ripristino di un backup sicuro del server, e AVVISO con punizione
all'utente che ha perso
la password (o se l'e' fatta beccare o ha abboccato in qualche
trucchetto etc etc)
perche' magari lui ha la macchina client "bucata" e allora il mr.
cracker potrebbe
benissimo riprendergli anche la prossima pwd..

magari metti mano anche su quel client se puoi..


2008/3/26, Gian <g.ciotti@tirrenide.net>:
> On 24.03.08, 20:07, Leonardo Boselli wrote:
>
>  > Un disgraziato utente dei miei server ha avuto la password caduta in mano
>  > di un cracker.
>  > stanotto costui da un luogo remoto dell'asia è entrato e fatto i cavoli
>  > suoi. dopo poche ore ho disabilitato l'utente. verso le 11 il sistema
>  > chiama; è il cracker che ha tsentato più volte senza successo di
>  > rientrare con l'account compromesso.
>  > per maggior sicurezza do in pasto a una riga di iptables che finisce con
>  > drop tutto il blocco di indirizzi da cui venivano gli attacchi.
>  > nel log dopo quell'ultimo tentativo non trovo più nulla .
>  > verso le 19 mi giunge un altro messaggio: ci sono diversi tentativi, che
>  > suppongo genuini di ingresso da parte del vero utente che a sua vlta non
>  > entra.
>  > che posso fidarmi a riabilitarlo, e mettergli /bin/false come shell in modo
>  > che possa accedere SOLO a imap4 ????
>
>
> assolutamente no[*], a meno che tu non sia ancora piu' assolutamente sicuro
>  che il cracker non sia riuscito a fare altro se non una "gita turistica"
>  nel sistema evitando di installare/riconfigurare qualsiasi cosa in maniera
>  simpaticamente (dipende dai punti di vista) "impropria".
>
>  [*] il "no" e' da intendersi per l'intero sistema e non solo per il
>  ripristino dell'utente: non so che dati tratti e se valga la pena
>  denunciare il fatto alla polizia postale, ma sicuramente il ripristino
>  di un backup pre-intrusione al sistema e' da prendere in seria
>  considerazione (alternativamente la reinstallazione di un sistema
>  pulito).
>
>
>  --
>
>  Gian
>
>  member of  A.G.O.W. #C10771
>    and orgoglione to be!
>        :(){ :|:&};:
>  _______________________________________________
>  FLUG - Discussioni tecniche - tech@firenze.linux.it
>  URL: https://lists.firenze.linux.it/mailman/listinfo/tech
>  Archivio: http://lists.firenze.linux.it/pipermail/tech
>  Ricerca nell'archivio: http://www.firenze.linux.it/search
>


Maggiori informazioni sulla lista flug-tech