attacco informatico

Mirco Massone m.massone@datasiel.net
Lun 15 Maggio 2006 14:22:57 CEST 

Angelo Naselli ha scritto:
> Alle 12:29, lunedì 15 maggio 2006, Mirco Massone ha scritto:
> 
>>Ragazzi, interessante esperienza, nulla da rimetterci naturalmente..., 
>>ma credo d'aver subito un attacco informatico a casa, ho lasciato aperta 
>>una porta per ssh, ho verificato diverse cose strane che tutto d'un 
>>colpo non vanno bene, a mio parere potrei aver subito un attacco....DOS.
> 
> Su cosa basi la tua ipotesi?
> 
> 
>>mi sapreste indicare qualche file specifico da verificare per 
>>documentare un possibile attacco?
>>Ho verificato dentro /var/log/....ma c'é tanto da cercare, qualcuno può 
>>darmi qualche indicazione mirata?
> 
> Il fatto che sia pieno potrebbe significare che non ci sia stato attacco :)
> A meno che non si tratti di qualcuno che abbia usato sw di test.
> Io non me ne intendo molto, ma se non vuoi lasciare tracce, le cancelli
> dai log. Quindi cerca dei buchi temporali nei log. Potresti però aver subito
> uno di quegli attacchi a ripetizione sulla porta ssh, ma li lo vedi nel log
> perché leggi una marea di tentativi di connessione con userid e passwd
> sbagliati. 
>  
> 
>>Ho una connessione su DSL con router interfacciato a lan card.
> 
> Un firewall?
> 
> 
> Angelo
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> glug mailing list
> glug@genova.linux.it
> http://lists.linux.it/listinfo/glug
Allora, domande serie, richiedono risposte serie.
Cerco d'essere breve, userò termini poco tecnici, ma spero efficaci.
Prima di questo ipotetico attacco potevo fare un semplice "ls" sulla 
struttura del file system a partire dalla radice "/"
ora non posso, se non come root.
Ho letto /var/log/messages ed ho trovato righe relative a login 
contenenti " ---MARK---", cos'é sta roba?
ora: IO SO ANCORA MOLTO POCO DI lINUX, MA IL SISTEMA GENERA DEI LOG CON 
TALI DICITURE?
Altra cosa, altre istruzioni e comandi al di fuori della mia home non 
posso più eseguirli se non come root. Se apro un applicativo da dentro 
Gnome Desktop esso, se richiede di sfogliare le risorse per aprire un 
file (che ne so:vlc/apri file...) se questo file é nella mia home tutto 
ok, altrimenti non ho risorse visibili in altri file sistem, in altre 
partizioni....come se le facoltà dell'utente che uso fossero state 
"modificate" riducendole, evidentemente, drasticamente.

Grazie ad Angelo e a chi prima di lui mi ha postato suggerimenti.

-- 
Mirco Massone
Datasiel S.p.A.
c/o ASL3 “Genovese”
Via G. Maggio, 6
16147 – Genova
Tel. 010/3445334
Cell. 335/6975623
Struttura:
Servizi all'utenza
Assistenza tecnica PDL
GPG id pub.key:1024D/9F48EC4B 2006-02-06 [expires: 2007-02-06]
Fingerprint: D9EC 1C9E 21E3 58B6 3143  D40C 3417 2367 9F48 EC4B

Maggiori informazioni sulla lista glug