glug:root kit

[Paolo Gaggini]

On Monday 10 February 2003 15:13, ad68@libero.it wrote:

> Allora direi che la prima cosa e staccarsi dalla rete.

Non posso.

> Poi con un altra macchina cerca su internet: dovresti trovare
> un rilevatore di root kit (parole chiave root kit Lion ad esempio)

Il Lion non è di sicuro: io bind nemmeno l'ho installato sul server!

> Voglio dire controlla se sei in qualche black list anti spam perche e
>  possibile che la cosa succeda gia da un po.

No, non credo. Me ne sarei accorto.
 
> Poi mi sa che .... pialli e reinstalli...

Noooo.... non con linux! Ci deve essere un altro modo.
Oltretutto, se faccio il backup (o meglio: ho già il backup, tramite 
script giornaliero che poi li trasferisce sulla mia workstation) ed è 
vero che sono infettato, non corro il rischio di portarmi dietro 
l'infezione?? Che ne so dov'è il root kit!

> Dal sito Debian scaricati l'HOWTO sull'hardening per chiudere un po'
> diservizi.

A parte sunrpc, time, discard e daytime, gli altri serivizi mi servono 
tutti. Se sono entrati da li, è per secutiry bugs, ma i pacchetti sono 
aggiornatissimi!

L'output di ipchains l'hai visto? è corretto? Perchè invece le porte 
risutlano aperte? 
Comunque io da qui non vedo niente sopra la 1025. Ne ho qualcuna strana 
in udp, però. E non mi sembra di averle mai viste prima (ad es: la 
2049!!). Ora vedo di tapparle.


----------
Paolo Gaggini
gse@libero.it  --   email pubblica
http://www.gseserver.net  -- GSE Network
http://www.biologiafacile.net -- Portale Universitario
http://www.linux-at-home.net   -- LINUX@HOME

#220216 Linux Registered User