glug:allarme ridimensionato.

Paolo Gaggini glug@genova.linux.it
Tue, 11 Feb 2003 11:37:58 +0100 

On Tuesday 11 February 2003 10:34, Stefano Canepa wrote:
> Paolo,
> 	RTFM: http://www.debian.org/doc/user-manuals#securing.

Si la stavo per l'appunto leggendo.
Ho chiuso daytime, time, e discard.
Ho scoperto di non aver chrootato ftp (l'avevo fatto PRIMA del famoso 
crash dell'hard disk, ma me ne sono dimenticato quando ho fatto il 
ripristino). Comunque come anonymous non ci si logga, e per entrare nel 
server via ftp a piene mani occorreva conoscere l'user che avevo creato 
apposta (dubito che un cracker possa aver indovinato questa 
informazione!! in ogni caso ora se qualcuno entrasse non potrebbe 
uscire dalla home). 
Non ho trovato il modo per chiudere 1024 e 1025, non riesco a capire a 
quali servizi facciano capo.

Riguardo la storia di cron, sul manuale leggo questo:
"If you have exim you do not need the daemon to be working in order to 
do this since the standard cron job flushes the mail queue"
Quindi che ciò che ho visto era un fatto normale. Infatti in /etc/cron.d 
ho trovato uno script exim che riporta proprio l'if che avevo visto in 
ps. Nei commenti c'è scritto che viene attivato ogni 15 minuti. Quindi 
anche questo era perfettamente normale. Ho appena verificato nel 
momento esatto di attivazione: l'output di ps è identico a quello che 
ho visto ieri.

Ho controllato il log.0 di exim (che stamattina è stato appunto ruotato) 
e ho visto che tra le 2 e le 6 di stamattina sono stato di nuovo 
bombardato di brutto, ma tutte le richieste sono state prontamente 
rifiutate dal server.
Rimane da verificare come ieri l'altro attacco sia riuscito a mandare 
delle mail, anche se c'è da dire che ieri sera ho riconfigurato da capo 
exim e ho chiuso definitvamente il relaying, mentre forse nella mia 
prima operazione avevo lasciato qualcosa di permissivo; del resto, la 
sera prima, avevo aperto tutto alla grande.....
Adesso i test di relaying (il più completo mi sembra questo:
http://www.abuse.net/relay.html 17 test!
mi dicono che sono un muro).

Allarme ridimensionato dunque, ma resto in pre-allerta. 

PS: la strategia indicato sul manuale di sicurezza debian in caso di 
intrusione accertata è di *staccare la spina*, analizzare gli hard disk 
con un live cd o su un'altra macchina (per capire dov'era il buco) ma 
comunque formattare tutto. Quindi SPERO vivamente di non aver avuto 
intrusioni......

----------
Paolo Gaggini
gse@libero.it  --   email pubblica
http://www.gseserver.net  -- GSE Network
http://www.biologiafacile.net -- Portale Universitario
http://www.linux-at-home.net   -- LINUX@HOME

#220216 Linux Registered User