[Primipassi] da dove è entrato il cracker?

Leandro Noferini lnoferin@cybervalley.org
Mar 7 Feb 2006 15:52:59 CET 

Giacomo Corradi scriveva:

> Ho un server Suselinux che è stato attaccato. Praticamente il cracker
> ha posizionato un file (qualcosa di nome eggdrop) dentro la macchina.

La lista primipassi non è il posto migliore per chiedere cose del
genere: in ogni caso proverò a scrivere qualcosa.

> Per capire cosa è successo negli ultimi giorni ho aperto il file
> /var/log/messages ed ho visto che qualcuno da un IP ben preciso è
> entrato ed ha usato il comando "su".
> 
> Ad esempio, ad una certa ora compare il messaggio:
> 
> Accepted keyboard-interactive/pam for root from ::ffff:X.Y.Z.K port xxxx
> ssh2
> 
> Questo /pam cosa sarebbe ?? il nome dell'host remoto? 

Pam sta per Pluggable Authori.. Modules ed è un sistema con il quale è
possibile modificare i sistemi di login degli Unix: da molto tempo è in
uso su molte distribuzioni Linux come Suse.

> Vorrei capire:
> 
> 1) da quale porta è entrato; messages non mi segnala la porta in
> ingresso, ma solo la porta sorgente del cracker;

Se davvero hai subito un attacco del genere la prima cosa che ti è stata
fatta è stato sicuramente il taroccamento dei log passati e futuri
quindi non puoi badarci gran che.

> 2) cosa ha piazzato sul server: sembra che sia qualcosa che si attiva ad
> un'ora ben precisa.... vorrei rimuoverlo prima che si attivi !!

Prova a cercare su google "root kit hunter" e nel frattempo tieni
scollegato il server.

> Ci sono altri files che devo guardare ??

Se non avevi sistemi di controllo già installati credo ci sia poco da
consigliare.

> Come si fa a vedere il traffico passato dalle varie porte in ingresso
> del server? ?
> 
> Sapete consigliarmi ??


-- 
Ciao
leandro
Un esteso e "normale" uso della crittografia è il sistema più forte
per rivendicare il diritto alla privacy nelle comunicazioni
telematiche: come tutti i diritti e come i muscoli se non viene
esercitato costantemente si atrofizza e va perso.

-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: Digital signature
URL:         <http://lists.linux.it/pipermail/primipassi/attachments/20060207/5345f8b7/attachment.pgp>

Maggiori informazioni sulla lista primipassi