>>>>> "Lo'oRiS" == Lo'oRiS il Kabukimono <kabukilano@xxxxxxxxxxxxx> writes: Lo'oRiS> Lele Gaifax <lele@xxxxxxxxxxxxxxxxxxx> : >> Subject: Debian Investigation Report after Server Compromises Lo'oRiS> riassuntino? ^___^ Ok, ma tu spieghi quel [despammed] nel subject delle tue risposte! :-) In sostanza, qualche intrusore, approfittando di un baco nella routine brk() (quella che "alloca" blocchi di memoria) nei kernel >2.2, <2.4.23 e <2.6.test6 e di almeno una password sniffata, è riuscito a installare una serie di accrocchi su varie macchine Debian. Il piano è apparentemente fallito perché non gli è riuscito di bucare una macchina non-i386 (una Sparc). Sia RedHat che SuSE hanno partecipato all'analisi forense delle macchine. Accortisi del problema, grazie a una serie di allarmi lanciati da AIDE, un sistema anti-intrusione, gli amministratori Debian hanno prontamente staccato, analizzato e reinstallato le macchine compromesse. Lo strascico più penoso è dovuto all'invalidamento in massa di tutte le password, chiavi SSH e account LDAP, cosa che sta di fatto determinando una interruzione dell'upload sia di nuovi pacchetti che degli aggiornamenti, tranne che per la sezione security. ciao, lele. -- nickname: Lele Gaifax | Quando vivrò di quello che ho pensato ieri real: Emanuele Gaifas | comincerò ad aver paura di chi mi copia. email: lele@xxxxxxxxxx | -- Fortunato Depero, 1929. -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx