Re: [Hackmeeting] backdoor

Supprimer ce message

Répondre à ce message
Auteur: Marco Bertorello
Date:  
À: hackmeeting
Sujet: Re: [Hackmeeting] backdoor
In data Wed, 09 Nov 2005 16:57:36 +0100, sand <sandman@???>
scrisse:

> Per il come, potrebbe essere una password sniffata, un utente senza
> password, una vulnerabilita' di qualche demone; dovresti guardare i
> log, ma potrebbero essere stati "puliti". Magari qualche core file in
> giro.


hmmm ai core non ci avevo pensato...

> Riguardo i cambiamenti, senza un checksum dei binari fatto PRIMA
> dell'intrusione, e' difficile capire cosa sia stato modificato;


i checksum sono a posto. faccio sempre gli md5 di *alcuni* binari subito
dopo averli installati

> potresti controllare la presenza di file strani in /dev/ o in altre
> directory, ma ci sono fin troppi modi per nascondersi in un
> filesystem.


neanche a /dev/ avevo pensato...

> Nel frattempo assicurati di eseguire i controlli sulla
> macchina usando un kernel nuovo o magari montando i dischi su un'altra
> macchina.


La prima cosa che ho fatto... un bel kernel nuovo! e appena potrò
togliere la macchina, farò il controllo dei dischi off-line

ciao,

-- 
Marco Bertorello         System Administrator
Linux Registered User #319921    marco@???


Raccogliere dati è un passo verso la saggezza. Ma condividerli fa
nascere una comunità        -- da spot IBM/Linux