Re: [Hackmeeting] backdoor

Delete this message

Reply to this message
Autore: renato gallo
Data:  
To: hackmeeting
Oggetto: Re: [Hackmeeting] backdoor
ovvio che visualizzano il tuo come solo utente ad aver fatto il login se
la macchina è kittata e minimo Malign ha cloackato i processi :D per
l'utente shadow segui la pista se Malign ha lasciato tracce le trovi di
quell'utente anche se magari il problema sta proprio nel login se ha
messo ulogin la macchina è spacciata (vedi cambiare la pass = inutile).
Dove esiste una backdoor ne esiste una di sicurezza, be paranoid and
reinstall, se Malign ha avuto tutto il tempo di kittare le tracce
rintracciabili (uh che bel gioco di parole) sono ben poche. Un modo
davvero bastardo sarebbe di includere quella macchina in una honeypot
con un'altra macchina fatta apposta per sniffare tutto quello che passa
tra la rete e la macchina bucata magari con i log ridirezionati a
printer, mentre nel frattempo ne metti in produzione un'altra (slol)*






(*S atanically L aughing O ut L oud)

> i log visualizzano il mio come solo utente ad aver fatto login.
> dove altro potrei guardare?
>
> Un'altra cosa che ho notato è l'esistenza di un file /etc/shadow- (il
> meno in fondo) con una data di modifica più vecchia di /etc/shadow.
>
> ho fatto un diff e mi ha evidenziato la differenza di un solo utente (a
> cui ho tempestivamente provveduto a cambiare la password).
>
> Ora ho messo al lavoro john the ripper su entrambi i file
>
> ciao,
>
> _______________________________________________
> Hackmeeting mailing list
> Hackmeeting@???
> https://www3.autistici.org/mailman/listinfo/hackmeeting