[Primipassi] da dove è entrato il cracker?
Giacomo Corradi
giacomo.corradi@unifi.it
Lun 6 Feb 2006 15:04:15 CET
Ho un server Suselinux che è stato attaccato. Praticamente il cracker ha
posizionato un file (qualcosa di nome eggdrop) dentro la macchina.
Per capire cosa è successo negli ultimi giorni ho aperto il file
/var/log/messages ed ho visto che qualcuno da un IP ben preciso è
entrato ed ha usato il comando "su".
Ad esempio, ad una certa ora compare il messaggio:
Accepted keyboard-interactive/pam for root from ::ffff:X.Y.Z.K port xxxx
ssh2
Questo /pam cosa sarebbe ?? il nome dell'host remoto?
Vorrei capire:
1) da quale porta è entrato; messages non mi segnala la porta in
ingresso, ma solo la porta sorgente del cracker;
2) cosa ha piazzato sul server: sembra che sia qualcosa che si attiva ad
un'ora ben precisa.... vorrei rimuoverlo prima che si attivi !!
Ci sono altri files che devo guardare ?? Come si fa a vedere il traffico
passato dalle varie porte in ingresso del server? ?
Sapete consigliarmi ??
Grazie mille!!
Giacomo Corradi
Maggiori informazioni sulla lista
primipassi