R: glug: Log server

LANDI Luca Luca.LANDI@omnitel.it
Mon, 13 Nov 2000 09:50:43 +0100 

> -----Messaggio originale-----
> Da:	Marco d'Itri [SMTP:md@Linux.IT]
> Inviato:	venerd=EC 10 novembre 2000 22.12
> A:	glug@lists.linux.it
> Oggetto:	Re: glug: Log server
>=20
> On Nov 10, LANDI Luca <Luca.LANDI@omnitel.it> wrote:
>=20
>  >Certamente anche le ipotesi di Gianni Verduci non sono da scartare,
> anche se
>  >in questo specifico caso mi=20
>  >sembra che non ci si dovrebbe preoccupare troppo.=20
> No, confermo che si tratta di un tentativo di exploit.
	[LANDI Luca]  Confermi in che senso??

>  >sicurezza in quanto lavora su stringhe, ma se una simile cosa =
arriva nel
> LOG
>  >l'eventuale tentativo di entrare nel sistema non =E8=20
>  >sicuramente riuscito.=20
> Questo non e` affatto certo.
	[LANDI Luca]  In effetti e' sempre meglio un controllo in pi=F9 che
uno in meno.

>  >Mi chiedo come mai invece ci siano in seguito ben due syslogd =
restart.
> Per un tentativo maldestro di coprire le tracce?
	[LANDI Luca]  Su questo ho i miei dubbi: un simile messaggio
ripetuto salta piu' all'occhio di molti altri in quanto anormale
	anche in una macchina ipoteticamente sana e sicura, e quindi uno
dovrebbe essere subito incuriosito se non altro per verificare che
	non vi siano bug nel sistema. I rootkit piu' recente sono furbi ed
in grado di eleminare ogni traccia strana dal syslog (quando riescono =
ad
entrare).
> Io farei un bello shutdown e boot con disco di recovery sicuramente
> integro per controllare che non ci sia un rootkit.
>=20
	[LANDI Luca]  Il modo comunque pi=F9 sicuro per proteggersi da sistemi
basati sulla sostituzione dei file =E8 quello di avere un
	sistema di controllo automatico o manuale che sia in grado di andare
a calcolare il checksum ed il file-size di quei file a rischio
	semplicemente precalcolando tali valori a macchina sicura e
salvandoseli da qualche parte (tipo su floppy) in modo da vare i =
confronti
	ogni qual volta possa essere necessario. Di solito i file a rischio
sono quelli con il bit suid settato. Chi ha il PAM installato comunque =
di
	solito corre gi=E0 meno rischi ed aggiornare anche spesso i vari
pacchetti ritenuti chiave pu=F2 aiutare a rendere inutilizzabile i vari
rootkit spesso pi=F9 vecchi e quindi meno funzionanti.



> --=20
> ciao,
> Marco
>=20

________________________

Entra in www.omnitel.it. Ti aspetta un mondo di servizi on line