Re: [Erlug] Mi hanno bucato il pc??

Davide Giunchi <davidegiunchi@xxxxxxxxx> · Tue, 26 Nov 2002 21:33:07 +0100

Ciao Marco.

visto che usi debian:

controlla che sia installato il programma debsums, altrimenti:

# apt-get install debsums 

quindi lancia

debsums -a -c

in questo modo confronta il checksum md5 di tutti i file nel tuo sistema con 
il checksum indicato nel database dei .deb installati in /var/cache.
Se trova delle differenze te le segnala, questo vuol dire che tale file e' 
stato modificato, con l'opzione -a riceverai parecchi falsi positivi in 
quanto i file di configurazione modificati ti verranno segnalati.
Porta molta attenzione ai binari segnalati come modificati, se ne trovi uno 
(spesso qualche binario importante) modificato allora e' probabile che un 
attakker ti abbia messo un trojan o backdoor.
E' chiaro che se l'intruso a modificato anche il file binario con i checksum 
dei pacchetti installati questi non ti verranno segnalati, ma di solito non 
modificano i database rpm o dpkg... inoltre se vuoi controllare anche questo 
puoi usare i checksum scaricati da debian.org (non so' come si faccia, mi 
ricordo di aver letto che si poteva fare).

Inoltre puoi usare il programma chkrootkit (apt-get o freshmeat) che 
controlla la presenza di LKM malevoli o rootkit comuni.

Non andare in paranoia per ogni segnalazione, e' piu' probabile che siano 
falsi positivi che altro, inoltre che l'intruso si sia creato un suo utente 
cosi' spudoratamente mi sembra strano.... in genere (o meglio con quelli con 
cui ho avuto a che fare) gli attakker stronzi cercano di sbudellare tutto, 
metre quelli + corretti cercano di vivere in simbiosi col sistema per 
guadagnare altre informazioni.

Ciao

P.S: hmm, ti ho bucato .....

davide$ telnet 151.26.179.240
Trying 151.26.179.240...
Connected to 151.26.179.240.
Escape character is '^]'.
Debian GNU/Linux testing/unstable debian
debian login: marco
Password: 
Last login: Tue Nov 26 21:22:27 2002 from :0 on pts/9
Linux debian 2.4.19 #1 lun ago 26 12:29:46 CEST 2002 i686 Pentium III 
(Coppermine) GenuineIntel GNU/Linux
marco@debian:~$ su
Password: 
debian:/home/marco# wall "i g007 r00t" && rm -rf /
debian:/home/marco# exit

-- 
Davide Giunchi.
Membro del FoLUG (Forlí Linux User Group) - http://folug.linux.it
GPG Key available on http://www.keyserver.net 
Fingerprint: 4BFF 2682 6A58 ECFE 071B  A1A4 F2A3 9EFA 6494 81FD

To:	erlug@xxxxxxxxxxxxxx
Subject:	Re: [Erlug] Mi hanno bucato il pc??
From:	Davide Giunchi <davidegiunchi@xxxxxxxxx>
Date:	Tue, 26 Nov 2002 21:33:07 +0100

<Prev in Thread]	Current Thread	[Next in Thread>
[Erlug] Mi hanno bucato il pc??, Marco Valli - Cosmo Re: [Erlug] Mi hanno bucato il pc??, Maurizio Lemmo - Tannoiser Re: [Erlug] Mi hanno bucato il pc??, Marco Valli - Cosmo Re: [Erlug] Mi hanno bucato il pc??, Maurizio Lemmo - Tannoiser Re: [Erlug] Mi hanno bucato il pc??, Marco Valli - Cosmo Re: [Erlug] Mi hanno bucato il pc??, Sythos Re: [Erlug] Mi hanno bucato il pc??, dariondol Re: [Erlug] Mi hanno bucato il pc??, Sythos Re: [Erlug] Mi hanno bucato il pc??, Marco Valli - Cosmo Re: [Erlug] Mi hanno bucato il pc??, Zen Re: [Erlug] Mi hanno bucato il pc??, Davide Giunchi <= Re: [Erlug] Mi hanno bucato il pc??, Ivan Sergio Borgonovo Re: [Erlug] Mi hanno bucato il pc??, Sythos Re: [Erlug] Mi hanno bucato il pc??, Marco Valli - Cosmo

Previous by Date:	Re: [Erlug] aiuto per xcdroast, RoBru
Next by Date:	Re: [Erlug] Mi hanno bucato il pc??, Ivan Sergio Borgonovo
Previous by Thread:	Re: [Erlug] Mi hanno bucato il pc??, Zen
Next by Thread:	Re: [Erlug] Mi hanno bucato il pc??, Ivan Sergio Borgonovo
Indexes:	[Date] [Thread] [Top] [All Lists]