[FLUG] server compromesso, cosa fare
- From: Carlo Minucci <gecco@xxxxxxxxxxxx>
- To: fanolug@xxxxxxxxxxx, "La lista [dell']INFO[rmatica]SOLIDALE..." <infolista@xxxxxxxxxxxxxxx>
- Date: Fri, 23 Sep 2005 13:18:10 +0200
Mailing List del Fortunae LUG
=============================
vi ricordate quando avevo lanciato quel giochetto di compromettere il
mio server? ancora nessuno di voi ci e` riuscito ma ci e` riuscito un
qualche utente, americano pare, proveniente da qua:
peru pts/0 Wed Sep 21 15:20 - 15:25 (00:05)
ac9b7d42.ipt.aol.com
peru pts/0 Wed Sep 21 15:15 - 15:19 (00:03)
ac9b7d42.ipt.aol.com
peru pts/1 Wed Sep 21 12:17 - 12:19 (00:01)
ac9b7d42.ipt.aol.com
peru pts/0 Wed Sep 21 12:11 - 13:36 (01:24) 206.191.6.26
io avevo stupidamente lasciato le home leggibili anche dagli altri
utente, almeno e` questo che fa la debian di default appena installata e
che io non lo sapevo fino adesso.
questo pisquano e` riuscito a compromettere il mio server perche`
stupidamente la password dell`utente peru era, guarda un po`, proprio
peru (non provateci piu`, ho rimosso l`utente). io confidavo in quella
buon`anima del mio amico peru che, una volta connessosi, avrebbe
cambiato la password, questo ovviamente non e` mai successo perche` non
e` mai riuscito a connettersi alla mia shell, cosa che ho scoperto 5
minuti fa al telefono.
questo pisquano, presumo americano dalle tracce che ha lasciato, ha
cancellato, giustamente, il proprio .bash_history, invece di utilizzare
un piu` elegante unset HIST_FILE.
nmap mi ha fatto scoprire questo http://206.191.6.26 che pare sia un
sito serio. devo sospettare che abbiano fatto danni pure a loro?
ma come mi sono accorto di cio`? il mio server dav non andava piu`, e,
controllando, ho visto che apache non c`era piu`. nei log di apache pare
non ci sia nulla di particolare.
chkrootkit non trova nulla, gli altri non hanno nulla di strano ma a
questo punto come faccio a controllare che questo balordo, non mi abbia
lasciato danni in giro?
aiutami obi lug kenobi, sei la mia ultima speranza
p.s.: secondo il mio vecchi contest chi mi avrebbe compromesso il server
avrebbe avuto una pizza pagata da me, le regole del contest prevedevano
la rinominazione del file index.geccorulez in index.html. siccome questa
clausola non e` stata rispettata, questo tale non avra` la pizza da me...
--
Historia docuit quantam nos iuvasse illa de Linux kernel
Other related posts:
- » [FLUG] server compromesso, cosa fare
- » [FLUG] Re: server compromesso, cosa fare
- » [FLUG] Re: server compromesso, cosa fare
- » [FLUG] Re: server compromesso, cosa fare
- » [FLUG] Re: server compromesso, cosa fare
- » [FLUG] Re: server compromesso, cosa fare
- » [FLUG] Re: server compromesso, cosa fare
- » [FLUG] Re: server compromesso, cosa fare
- » [FLUG] Re: server compromesso, cosa fare
- » [FLUG] Re: server compromesso, cosa fare