In data Wed, 09 Nov 2005 16:57:36 +0100, sand <sandman@???>
scrisse:
> Per il come, potrebbe essere una password sniffata, un utente senza
> password, una vulnerabilita' di qualche demone; dovresti guardare i
> log, ma potrebbero essere stati "puliti". Magari qualche core file in
> giro.
hmmm ai core non ci avevo pensato...
> Riguardo i cambiamenti, senza un checksum dei binari fatto PRIMA
> dell'intrusione, e' difficile capire cosa sia stato modificato;
i checksum sono a posto. faccio sempre gli md5 di *alcuni* binari subito
dopo averli installati
> potresti controllare la presenza di file strani in /dev/ o in altre
> directory, ma ci sono fin troppi modi per nascondersi in un
> filesystem.
neanche a /dev/ avevo pensato...
> Nel frattempo assicurati di eseguire i controlli sulla
> macchina usando un kernel nuovo o magari montando i dischi su un'altra
> macchina.
La prima cosa che ho fatto... un bel kernel nuovo! e appena potrò
togliere la macchina, farò il controllo dei dischi off-line
ciao,
--
Marco Bertorello System Administrator
Linux Registered User #319921 marco@???
Raccogliere dati è un passo verso la saggezza. Ma condividerli fa
nascere una comunità -- da spot IBM/Linux
