[Primipassi] da dove è entrato il cracker?

Lorenzo Riccucci trash@vacmf.org
Mar 7 Feb 2006 16:20:05 CET


On Mon, 2006-02-06 at 15:04 +0100, Giacomo Corradi wrote: 
> Ho un server Suselinux che è stato attaccato. Praticamente il cracker ha
> posizionato un file (qualcosa di nome eggdrop) dentro la macchina.

eggdrop e` un irc bot. In genere se qualcuno ti mette questi programmi a
interesse che il server continui a funzionare correttamente quindi
probabilmente non ti ha creato altri casini se non quello di essersi
mantenuto una porticina di ingresso sul server ed eventualmente
nascondere il bot.
Googolando trovi tutte le info che vuoi su eggdrop in pochi secondi.

> Per capire cosa è successo negli ultimi giorni ho aperto il file
> /var/log/messages ed ho visto che qualcuno da un IP ben preciso è
> entrato ed ha usato il comando "su".
[...]

Potresti darci qualche indicazione su quali servizi girassero sulla
macchina in questione, per esempio c'e' un server web, ftp, dns ecc. 
Sul messages potresti non vedere niente, potrebbe aver ripulito i log,
installato rootkit ecc. e quindi potresti non vedere nemmeno il processo
incriminato in esecuzione con ps, top, netstat ecc.

E` comunque argomento piu` consono alla lista flug-tech dove sicuramente
troverai chi ti puo` dare consigli migliori.

ciao
lorenzo

-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: This is a digitally signed message part
URL:         <http://lists.linux.it/pipermail/primipassi/attachments/20060207/2e9e8a2d/attachment.pgp>


Maggiori informazioni sulla lista primipassi