glug:uhmmmm

[Stefano Canepa]

Tuesday 11 February 2003, alle 14:53, Paolo Gaggini:
: On Tuesday 11 February 2003 14:21, Federico /* juri */ Pedemonte wrote:
: 
: > ti conviene montare il disco su una macchina pulita... (o comunque
: > usare un sistema sicuramente pulito anche per fare il checksum dei
: > binari)
: 
: Allora, ho copiato dal server ls, netstat e ps sulla mia workstation, e 
: quivi ho effettuato l'md5.
: Poi l'ho confrontato con quello degli stessi binari su una terza 
: macchina woody, installata da poco, controllando che le versioni 
: fossero le stesse. Gli md5 sono perfettamente uguali, quindi possiamo 
: ritenere attendibili le informazioni che mi danno sul server?
: 
OK. Adesso, se ls č affidabile fai un bel ls -laRtr >
/floppy/ls-laRtr.txt. Ovviamente con un bel floppy montato. 
 
Poi prendi il tuo filetto e lo metti leggi sulla workstation alla
ricerca di directory ... o porcate del genere. L'ultimo rootkit che ho
estripato era in /.... 

Dopo di che monta su quel caspita di server qualcosa che verifichi le
attivitā e le modifiche dei file. Io ho un programmino che mi manda una
mail ogni volta che un utente fa log, sudo, su etc...

Se poi vuoi divertirti crea un bel honepot. Ricordati sempre che se
qualcuno entra nel tuo server e lo usa per fare cose illegali poi la
pula viene prima da te. 

Una bella idea sarebbe comunque chiamare il cert-it.

Stefano

-- 
Stefano Canepa e-mail: sc@linux.it
To follow the path: look at the master, follow the master, walk with the
master, see through the master, become the master.
http://www.stefanocanepa.it - http://www.linux.it/~sc