glug:root kit
ad68@libero.it
glug@genova.linux.it
Mon, 10 Feb 2003 15:13:51 +0100
On Monday 10 February 2003 12:13, Federico /* juri */ Pedemonte wrote:
Ciao.
E probabile che tu abbia un root kit con backdoor.
Allora direi che la prima cosa e staccarsi dalla rete.
Poi con un altra macchina cerca su internet: dovresti trovare
un rilevatore di root kit (parole chiave root kit Lion ad esempio)
Scaricalo e installalo. E probabile che comandi base della bash siano stati
modificati (es. classico ls)
A quel punto se individui il tipo di root kit forse riesci anche ad eliminarlo.
E probabile che il tipo simpatico ti abbia messo uno script e abbia rootato
cron in maniera da non farti vedere quando lo manda in esecuzione.
Prova a cercarlo ma se non hai settato un sistema di rotazione dei log su
un altra macchina non penso che Tu riesca facilmente a capire quando e
successo.
Voglio dire controlla se sei in qualche black list anti spam perche e
possibile che la cosa succeda gia da un po.
Altrimenti fai un backup (ti consiglio di usare knoppix per caricare una distro)
poi il backup lo fai usando il masterizzatore da knoppix.
Questo per evitare di portarsi dietro roba indesiderata usando la distro
compromessa.
Poi mi sa che .... pialli e reinstalli...
Dal sito Debian scaricati l'HOWTO sull'hardening per chiudere un po' di
servizi.
bye
AD