Re: [Hackmeeting] backdoor

Delete this message

Reply to this message
Autore: Marco Bertorello
Data:  
To: hackmeeting
Oggetto: Re: [Hackmeeting] backdoor
In data Wed, 09 Nov 2005 16:57:36 +0100, sand <sandman@???>
scrisse:

> Per il come, potrebbe essere una password sniffata, un utente senza
> password, una vulnerabilita' di qualche demone; dovresti guardare i
> log, ma potrebbero essere stati "puliti". Magari qualche core file in
> giro.


hmmm ai core non ci avevo pensato...

> Riguardo i cambiamenti, senza un checksum dei binari fatto PRIMA
> dell'intrusione, e' difficile capire cosa sia stato modificato;


i checksum sono a posto. faccio sempre gli md5 di *alcuni* binari subito
dopo averli installati

> potresti controllare la presenza di file strani in /dev/ o in altre
> directory, ma ci sono fin troppi modi per nascondersi in un
> filesystem.


neanche a /dev/ avevo pensato...

> Nel frattempo assicurati di eseguire i controlli sulla
> macchina usando un kernel nuovo o magari montando i dischi su un'altra
> macchina.


La prima cosa che ho fatto... un bel kernel nuovo! e appena potrò
togliere la macchina, farò il controllo dei dischi off-line

ciao,

-- 
Marco Bertorello         System Administrator
Linux Registered User #319921    marco@???


Raccogliere dati è un passo verso la saggezza. Ma condividerli fa
nascere una comunità        -- da spot IBM/Linux