glug:allarme ridimensionato.
Paolo Gaggini
glug@genova.linux.it
Tue, 11 Feb 2003 11:37:58 +0100
On Tuesday 11 February 2003 10:34, Stefano Canepa wrote:
> Paolo,
> RTFM: http://www.debian.org/doc/user-manuals#securing.
Si la stavo per l'appunto leggendo.
Ho chiuso daytime, time, e discard.
Ho scoperto di non aver chrootato ftp (l'avevo fatto PRIMA del famoso
crash dell'hard disk, ma me ne sono dimenticato quando ho fatto il
ripristino). Comunque come anonymous non ci si logga, e per entrare nel
server via ftp a piene mani occorreva conoscere l'user che avevo creato
apposta (dubito che un cracker possa aver indovinato questa
informazione!! in ogni caso ora se qualcuno entrasse non potrebbe
uscire dalla home).
Non ho trovato il modo per chiudere 1024 e 1025, non riesco a capire a
quali servizi facciano capo.
Riguardo la storia di cron, sul manuale leggo questo:
"If you have exim you do not need the daemon to be working in order to
do this since the standard cron job flushes the mail queue"
Quindi che ciò che ho visto era un fatto normale. Infatti in /etc/cron.d
ho trovato uno script exim che riporta proprio l'if che avevo visto in
ps. Nei commenti c'è scritto che viene attivato ogni 15 minuti. Quindi
anche questo era perfettamente normale. Ho appena verificato nel
momento esatto di attivazione: l'output di ps è identico a quello che
ho visto ieri.
Ho controllato il log.0 di exim (che stamattina è stato appunto ruotato)
e ho visto che tra le 2 e le 6 di stamattina sono stato di nuovo
bombardato di brutto, ma tutte le richieste sono state prontamente
rifiutate dal server.
Rimane da verificare come ieri l'altro attacco sia riuscito a mandare
delle mail, anche se c'è da dire che ieri sera ho riconfigurato da capo
exim e ho chiuso definitvamente il relaying, mentre forse nella mia
prima operazione avevo lasciato qualcosa di permissivo; del resto, la
sera prima, avevo aperto tutto alla grande.....
Adesso i test di relaying (il più completo mi sembra questo:
http://www.abuse.net/relay.html 17 test!
mi dicono che sono un muro).
Allarme ridimensionato dunque, ma resto in pre-allerta.
PS: la strategia indicato sul manuale di sicurezza debian in caso di
intrusione accertata è di *staccare la spina*, analizzare gli hard disk
con un live cd o su un'altra macchina (per capire dov'era il buco) ma
comunque formattare tutto. Quindi SPERO vivamente di non aver avuto
intrusioni......
----------
Paolo Gaggini
gse@libero.it -- email pubblica
http://www.gseserver.net -- GSE Network
http://www.biologiafacile.net -- Portale Universitario
http://www.linux-at-home.net -- LINUX@HOME
#220216 Linux Registered User