Repository 32bit  Forum
Repository 64bit  Wiki

Come capire se il mio pc e' attaccato?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Come capire se il mio pc e' attaccato?

Messaggioda danae20032001 » sab mag 20, 2006 10:03

Salve a tutti ho la slack current con il kernel 2.4.32 ed uso il pc come sistema desktop. Come posso capire se il mio pc e' soggetto ad attacchi? Ho scaricato da slacky KSystemLog e aprendolo mi visualizza i log di sistema...ma vorrei capire come interpretare quelli sospetti; ad esempio mi appaiono diverse righe cosi':

05/20/2006 10:57:06 AM darkstar none -- MARK --

In soldoni: come posso capire con questo programma se c'e' qualcosa di sospetto? Grazie!
danae20032001
Linux 2.0
Linux 2.0
 
Messaggi: 147
Iscritto il: dom nov 06, 2005 23:28
Località: milano

Re: Come capire se il mio pc e' attaccato?

Messaggioda Vlk » sab mag 20, 2006 13:10

danae20032001 ha scritto:Salve a tutti ho la slack current con il kernel 2.4.32 ed uso il pc come sistema desktop. Come posso capire se il mio pc e' soggetto ad attacchi? Ho scaricato da slacky KSystemLog e aprendolo mi visualizza i log di sistema...ma vorrei capire come interpretare quelli sospetti; ad esempio mi appaiono diverse righe cosi':

05/20/2006 10:57:06 AM darkstar none -- MARK --

In soldoni: come posso capire con questo programma se c'e' qualcosa di sospetto? Grazie!

Ahahah. Anch'io mi preoccupai per Marco. Sappi comunque che MARK è un segnale "di vita" che da il kernel, nulla più. Da quello che ho capito - e se ho capito male vorrei che me lo diceste - un cracker attacca solo se vede servizi (server) e porte aperte, come la 21/22 con i servizi ftp o http. Altrimenti è molto difficile aprire una porta e utilizzarla per entrare nel pc altrui. Basta dare un nmap locahost per sapere quali porte sono aperte.
Vlk
Linux 2.6
Linux 2.6
 
Messaggi: 671
Iscritto il: mer feb 09, 2005 0:00

Messaggioda danae20032001 » dom mag 21, 2006 8:36

ho dato:

$ nmap localhost

Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-05-21 09:33 CEST
Interesting ports on darkstar.example.net (127.0.0.1):
(The 1670 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
37/tcp open time
113/tcp open auth

Nmap finished: 1 IP address (1 host up) scanned in 0.347 seconds

ma non so se devo rpeoccuparmi.....qualcuno sa chiarirmi le idee per favore? Grazie!
danae20032001
Linux 2.0
Linux 2.0
 
Messaggi: 147
Iscritto il: dom nov 06, 2005 23:28
Località: milano

Messaggioda Vlk » dom mag 21, 2006 8:54

danae20032001 ha scritto:ho dato:

$ nmap localhost

Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-05-21 09:33 CEST
Interesting ports on darkstar.example.net (127.0.0.1):
(The 1670 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
37/tcp open time
113/tcp open auth

Nmap finished: 1 IP address (1 host up) scanned in 0.347 seconds

In pratica hai due porte aperte. Se non ti servono e non ti servono nemmeno i vari server (ftp, http) loggati da root, digita pkgtool --> Setup --> services e seleziona solo cups e sysolg. Riavvia e vedi che hai solo una porta aperta, la 631, che ascolta in locale e quindi non èè una porta che si può utilizzare per attacchi.
Vlk
Linux 2.6
Linux 2.6
 
Messaggi: 671
Iscritto il: mer feb 09, 2005 0:00

Messaggioda MAT » dom mag 21, 2006 11:31

Vlk ha scritto:Riavvia

:shock: Riavviare? E perché? Mica stiamo parlando di Windows :lol:
Basta stoppare i servizi e sei a posto
Codice: Seleziona tutto
# /etc/rc.d/rc.nomeservizio stop
Avatar utente
MAT
Linux 3.x
Linux 3.x
 
Messaggi: 1242
Iscritto il: mer mar 09, 2005 0:00
Località: Vignola, Modena
Nome Cognome: Matteo Magni
Kernel: 2.6.20
Desktop: Fluxbox
Distribuzione: Gentoo

Messaggioda danae20032001 » dom mag 21, 2006 20:38

Il problema e' che non ho la piu' pallida idea di cosa possano servire le due suddette porte...scusate ma qualcuno mi puo' spiegare il loro utilizzo prima di chiuderle? Grazie!
danae20032001
Linux 2.0
Linux 2.0
 
Messaggi: 147
Iscritto il: dom nov 06, 2005 23:28
Località: milano

Messaggioda gnubit » lun mag 22, 2006 7:31

time 37/tcp Time
time 37/udp Time
....
auth 113/tcp Authentication Service
auth 113/udp Authentication Service


La 113 dovrebbe essere ident, la 37 boh forse NTP
Avatar utente
gnubit
Linux 2.6
Linux 2.6
 
Messaggi: 751
Iscritto il: dom apr 16, 2006 23:16
Località: Verona


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

cron