Re: [Hackmeeting] backdoor

Nachricht löschen

Nachricht beantworten
Autor: Marco Bertorello
Datum:  
To: hackmeeting
Betreff: Re: [Hackmeeting] backdoor
In data Wed, 09 Nov 2005 16:49:35 +0100, renato gallo
<renatogallo@???> scrisse:

> ovvio che visualizzano il tuo come solo utente ad aver fatto il login
> se la macchina è kittata e minimo Malign ha cloackato i processi :D
> per l'utente shadow segui la pista se Malign ha lasciato tracce le
> trovi di quell'utente anche se magari il problema sta proprio nel
> login se ha messo ulogin la macchina è spacciata (vedi cambiare la
> pass = inutile). Dove esiste una backdoor ne esiste una di sicurezza,
> be paranoid and reinstall, se Malign ha avuto tutto il tempo di
> kittare le tracce rintracciabili (uh che bel gioco di parole) sono ben


Si, il fatto di reinstallare, ripeto, è cosa certa... però questa storia
di ulogin mi incuriosisce, farò ricerche anche in questo senso...

> poche. Un modo davvero bastardo sarebbe di includere quella macchina
> in una honeypot con un'altra macchina fatta apposta per sniffare tutto
> quello che passa tra la rete e la macchina bucata magari con i log
> ridirezionati a printer, mentre nel frattempo ne metti in produzione
> un'altra (slol)*


già fatto... lo scorso week end la macchina è stata sotto hub assieme ad
una live che tcpdumpava tutto su disco... morale? ho 600 MB di dump che
ethereal non mi apre :-(

-- 
Marco Bertorello         System Administrator
Linux Registered User #319921    marco@???


"Gli utenti Windows non sanno niente degli standard semplicemente perche' sono utenti normali, non e' che sono mongoli." - Naf