At 12.22 07/10/02 +0200, you wrote:
Ho trovato questi processi che giravano sul mio serverino domestico:
apache 20154 1.0 11.4 15980 14436 ? S Oct06
12:18 /tmp/.cinik 61.219.234.202
apache 26862 0.0 0.0 0 0 ? Z 07:04 0:00
[.cinik
<defunct>]
Poi ho guardato nella tmp e c'erano anche il sorgente C(con i commenti!!!) e
il bash per repliclarsi(se vi interessa li posto). Da quel che ho potuto
capire,l'intruso ha scritto in tmp come utente apache,poi si è replicato in
varie directory e poi si è messo nel cron.
Il programma è una roba per il peer-to-peer.
La domanda da 1 milione di dollari è ovviamente ,come ha fatto a entrare?
CPD..... prova a autoinvestigare guardando nei log nell'intervallo di
data/ora del file in /tmp,
non sono un gran esperto perciò non posso dirti come risolvere quello che
già è successo, ma ti consiglio
di installare programmi tipo logcheck o swatch settandoli in modo da
evidenziarti gli accessi
remoti, cotnrolla anche i CGI presenti in apache e se non li usi toglili
dai piedi. Se hai un server ftp controlla
che solo il tuo utente possa loggare, niente root o utenti virtuali dei demoni.
Ma per ora cerca soprattutto nei log, li dovrebbe esserci tutto.
Sythos - http://www.sythos.net
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GE d- s+:+ a+ C++ U P! L+++ E-- W+++ N++ o K- w O-- M- V-- PS+ PE++ Y+
PGP++ t++ 5 X+ R+ tv b++ DI++ D++ G++ e+++ h+ r y+
------END GEEK CODE BLOCK------
|