At 16:01 13/01/04, you wrote:
Tassoman ha scritto:
portsentry arriva dopo la puzza "ehi, sai che ti hanno nmappato
dall'indirizzo 1.1.1.1?" e poi che fai? Sai come intepretare i messaggi di
portsentry? Sai capire se e' un falso positivo?
portsentry puo' anche mandarti una mail con il messaggio di
tentativo_di_intrusione/nmappata, ma il tempo che la leggi e' gia'
sufficiente per ild efacing, e non hai ottenuto nulla.
Servirebbe a bloccare coloro che non son capaci a fare una intrusione mappata
(che non so cosa sia.. ghgh)[ok studio!]
Fare uno scriptino per iptables ci si mette un tempo quantificabile in 2
caffe' e una sigaretta.
E non vuol dire che con solo quello la macchina sia sicura, anzi...
non è mai sicura la macchina.. però potrebbe essere sempre sicura contro la
maggiorparte degli scardozzi che si divertono a ciappinare, vedi i
ragazzini che scoprono "il giochino".
PS: "come" hanno fatto il defacing? usi un content manager? sono entrati
da ssh?
C'era, anzi c'e' phpnuke 6
Purtroppo quello non si può eliminare, è la ragione di essere del server.
Il sito piu importante gira su quello e levarlo leverebbe il senso di
esistere alla macchina. (è risaputo della sua buggosità)
Son talmente ignorante che non so come abbiano fatto ad entrarci.
Mi son trovato cmq un file un file binario nella root del sito chiamato rh*
dove * non ricordo che fosse.
Ovviamente stiamo parlando di una redhat... -_-
Avrei voluto mettere debian, ma non son stato in grado di configurare i
drivers della scheda di rete quando son andato alla webfarm.
Cmq il risultato finale è stato, exploit con furto di root, apertura di una
shell libera alla porta 1666 e defacement
Poi han riavviato ma avevano corrotto il boot e la macchina non è più
ripartita finchè non l'ho formattata.
|