Re: [Hackmeeting] backdoor

This message is part of the following thread:
M-\the complete thread tree sorted by date
M.Mrenato gallo at <-
M\MMarco Bertorello at ->
Delete this message

Reply to this message
Author: sand
Date:  
To: hackmeeting
Subject: Re: [Hackmeeting] backdoor
Marco Bertorello wrote:
> 1) come è entrato il mentecatto
>
> 2) che cosa ha combinato che ancora non so

Per il come, potrebbe essere una password sniffata, un utente senza
password, una vulnerabilita' di qualche demone; dovresti guardare i log,
ma potrebbero essere stati "puliti". Magari qualche core file in giro.

Riguardo i cambiamenti, senza un checksum dei binari fatto PRIMA
dell'intrusione, e' difficile capire cosa sia stato modificato; potresti
controllare la presenza di file strani in /dev/ o in altre directory, ma
ci sono fin troppi modi per nascondersi in un filesystem.
Nel frattempo assicurati di eseguire i controlli sulla macchina usando
un kernel nuovo o magari montando i dischi su un'altra macchina.

sand
--
Hi, I'm a .signature virus! Copy me to your .signature file and
help me propagate, thanks!

This message was posted to the following mailing lists:
hackmeeting
Mailing List Info | Nearby Messages		<-Re: [Hackmeeting] backdoorRe: [Hackmeeting] backdoor->
lists.autistici.org administrated by postmasterLurker (version 2.3)