Re: [Hackmeeting] backdoor

Nachricht löschen

Nachricht beantworten
Autor: Marco Bertorello
Datum:  
To: hackmeeting
Betreff: Re: [Hackmeeting] backdoor
In data Wed, 09 Nov 2005 16:34:01 +0100, filippo <filippo@???>
scrisse:

> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Marco Bertorello wrote:
> > In data Wed, 09 Nov 2005 16:13:49 +0100, renato gallo
> > <renatogallo@???> scrisse:
> >
> >
> >>che io sappia un emerita ceppa :D reinstalla la macchina ho idea che
> >>hai trovato la punta di un iceberg
> >
> >
> > La reinstallazione della macchina è una cosa _certa_ però mi preme
> > anche capire:
> >
> > 1) come è entrato il mentecatto
>
> dovresti controllare se ci sono per esempio login,top,ps,ls e altri
> comandi modificati,io una volta mi sono accorto di una macchina bucata
> perche c'era un switch su ls che non ho mai usato.


i log visualizzano il mio come solo utente ad aver fatto login.
dove altro potrei guardare?

Un'altra cosa che ho notato è l'esistenza di un file /etc/shadow- (il
meno in fondo) con una data di modifica più vecchia di /etc/shadow.

ho fatto un diff e mi ha evidenziato la differenza di un solo utente (a
cui ho tempestivamente provveduto a cambiare la password).

Ora ho messo al lavoro john the ripper su entrambi i file

ciao,

-- 
Marco Bertorello         System Administrator
Linux Registered User #319921    marco@???


"Conoscere Bill Gates era il secondo dei miei sogni, il primo è quello
di visitare Disneyland" - Arfa Karim