glug:root kit
Paolo Gaggini
glug@genova.linux.it
Mon, 10 Feb 2003 17:24:59 +0100
On Monday 10 February 2003 15:13, ad68@libero.it wrote:
> Allora direi che la prima cosa e staccarsi dalla rete.
Non posso.
> Poi con un altra macchina cerca su internet: dovresti trovare
> un rilevatore di root kit (parole chiave root kit Lion ad esempio)
Il Lion non è di sicuro: io bind nemmeno l'ho installato sul server!
> Voglio dire controlla se sei in qualche black list anti spam perche e
> possibile che la cosa succeda gia da un po.
No, non credo. Me ne sarei accorto.
> Poi mi sa che .... pialli e reinstalli...
Noooo.... non con linux! Ci deve essere un altro modo.
Oltretutto, se faccio il backup (o meglio: ho già il backup, tramite
script giornaliero che poi li trasferisce sulla mia workstation) ed è
vero che sono infettato, non corro il rischio di portarmi dietro
l'infezione?? Che ne so dov'è il root kit!
> Dal sito Debian scaricati l'HOWTO sull'hardening per chiudere un po'
> diservizi.
A parte sunrpc, time, discard e daytime, gli altri serivizi mi servono
tutti. Se sono entrati da li, è per secutiry bugs, ma i pacchetti sono
aggiornatissimi!
L'output di ipchains l'hai visto? è corretto? Perchè invece le porte
risutlano aperte?
Comunque io da qui non vedo niente sopra la 1025. Ne ho qualcuna strana
in udp, però. E non mi sembra di averle mai viste prima (ad es: la
2049!!). Ora vedo di tapparle.
----------
Paolo Gaggini
gse@libero.it -- email pubblica
http://www.gseserver.net -- GSE Network
http://www.biologiafacile.net -- Portale Universitario
http://www.linux-at-home.net -- LINUX@HOME
#220216 Linux Registered User