Re: [Hackmeeting] backdoor

Delete this message

Reply to this message
Autor: sand
Data:  
Para: hackmeeting
Assunto: Re: [Hackmeeting] backdoor
Marco Bertorello wrote:
> 1) come è entrato il mentecatto
>
> 2) che cosa ha combinato che ancora non so


Per il come, potrebbe essere una password sniffata, un utente senza
password, una vulnerabilita' di qualche demone; dovresti guardare i log,
ma potrebbero essere stati "puliti". Magari qualche core file in giro.

Riguardo i cambiamenti, senza un checksum dei binari fatto PRIMA
dell'intrusione, e' difficile capire cosa sia stato modificato; potresti
controllare la presenza di file strani in /dev/ o in altre directory, ma
ci sono fin troppi modi per nascondersi in un filesystem.
Nel frattempo assicurati di eseguire i controlli sulla macchina usando
un kernel nuovo o magari montando i dischi su un'altra macchina.

sand
--
Hi, I'm a .signature virus! Copy me to your .signature file and
help me propagate, thanks!