Repository 32bit  Forum
Repository 64bit  Wiki

... sono entrati !! [Risolto]

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

... sono entrati !! [Risolto]

Messaggioda Luci0 » mar set 19, 2006 23:13

rootkit e password cambiate .. ma hanno lasciato una traccia grossa così nei log e i moduli del rootkit andavano in segmentation fault ... di gente che non ha nulla da fare se ne trova sempre tanta... !! maledetti lameracci

Speravo dietro un ip dinamico di farla franca ( una slack 9.0 con un modem interno PCI ADSL che é su da circa tre anni ) anche se non mi azzardavo a ricompilare il kernel ... della serie sono riuscito a far andare il modem ora non tocco più niente ... in tal caso fare manutenzione seria é problematico ... l'ho rimesso su con le ultime patch di apache & co.. spero bastino !!
Ultima modifica di Luci0 il dom nov 26, 2006 23:59, modificato 1 volta in totale.
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Messaggioda snak3z » mer set 20, 2006 10:46

Oltre apache avevi altri servizi attivi?
snak3z
Linux 1.0
Linux 1.0
 
Messaggi: 16
Iscritto il: mer giu 09, 2004 23:00

Messaggioda Luci0 » mer set 20, 2006 11:45

Almeno una 10na ... con un firewall gShield
ftp
ssh
smtp
http
vnc
mldonkey
pop3
webmin
mysql
ma devo dire che non avevo mai avuto grossi problemi ... ma ora farò più attenzione e comincerò a chiudere porte finestre ... non potendo patchare il kernel
cercherò di lavorare con il firewall anche se temo che anche le iptables siano bacate ...
Vediamo quanto dura ...
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Messaggioda l1q1d » mer set 20, 2006 14:25

ma è un pc o un gruviera? Direi che avevano molte possibilità per entrare.
Da dove sono entrati esattamente?
Avatar utente
l1q1d
Master
Master
 
Messaggi: 1862
Iscritto il: lun feb 21, 2005 0:00
Località: In uno spazio n-dimesionale

Messaggioda snak3z » mer set 20, 2006 14:44

domanda + che lecita direi...

Fossi in te mi sarei preoccupato di capire quale servizio ti hanno bucato,

Gli upgrade e le patch sono essenziali se vuoi mantenere il tuo sistema + sicuro possibile, sopratutto se lo lasci on line.

Pui anche filtrare con iptables o qualsiasi altro fw, ma se un servizio lo lasci attivo e quindi fai passare il traffico su tale porta,
non può di certo proteggerti dai buffer overflow e vulnerabitità varie.
snak3z
Linux 1.0
Linux 1.0
 
Messaggi: 16
Iscritto il: mer giu 09, 2004 23:00

Messaggioda Luci0 » mer set 20, 2006 23:28

Certo se bisogna usare i servizi questi sono esposti e quindi soggetti ad attacchi... ho chiuso pop3 e smtp che me li ero dimenticati accesi dopo aver fatto dei test dall'esterno ... ma credo che siano passati da proftp o meglio hanno tentato di indovinare utenti e password anche se questa attività é precedente di circa una settimana al fattaccio, (il 12 settembre alle ore 01 di mattina)... ftp lo ho disattivato per il momento. il rootkit dovrebbe essere bindshell almeno ... quello che dice chkrootkit ...(c' é qualcosa in ascolto sulla porta 4000)... comunque diversi comandi della directory /bin erano stati modificati ma alcuni non riuscivano ad andare in esecuzione. finendo malamente in segmentation fault ... comunque ho dallle tarball dell' installazione originale e ho ripristinato i comandi fasulli con quelli buoni, ho bannato gli indirizzi degli attacchi con iptables...
... sto analizzando i log che sembrano integri anche se credo che preparerò una macchina aggiornata ....
... :?
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Messaggioda l1q1d » gio set 21, 2006 20:11

Quindi ti sono entrati dal ftp?
Avatar utente
l1q1d
Master
Master
 
Messaggi: 1862
Iscritto il: lun feb 21, 2005 0:00
Località: In uno spazio n-dimesionale

Messaggioda Luci0 » gio set 21, 2006 21:33

Non lo so ... non lo so ... non ho ancora analizzato a fondo i log ...
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Messaggioda Luci0 » dom nov 26, 2006 23:58

Risolto ... un keylogger su una macchina Windows di un cliente ...
una bella leggerezza, la prossima volta riavvio il PC con una distribuzione LIVE così dovrei essere al sicuro ...
... meditate gente ... meditate :-(
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Messaggioda IceSlack » lun nov 27, 2006 0:15

eh ma intato io disconnetterei la macchina bucata da internet
Avatar utente
IceSlack
Linux 3.x
Linux 3.x
 
Messaggi: 1313
Iscritto il: dom ott 30, 2005 13:27

Messaggioda Luci0 » lun nov 27, 2006 10:06

Il PC l' ho sostituito e poi ho capito l' arcano... sono entrati da ssh loggandosi correttamente poi ho trovato in giro molti spyware e keylogger durante una campagna di disinfestazione di PC Windows (inutile dire che erano PC con antivirus installato e correttamente funzionante) e poi ho compreso l' enorme leggerezza (leggi ca**ata che avevo compiuto .).

.P.S .Mai fidarsi di un PC sconosciuto con Windows (TM) e Antivirus... :-)

P.P.S. A proposito di keylogger io ho riscontrato un aumento della "virulenza" di questo tipo di trojan ma non ho conservato i log degli antivirus ... se ho altre info apro un nuovo post ... :-)
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Messaggioda masalapianta » lun nov 27, 2006 10:35

Luci0 ha scritto:Almeno una 10na ... con un firewall gShield
ftp
ssh
smtp
http
vnc
mldonkey
pop3
webmin
mysql
ma devo dire che non avevo mai avuto grossi problemi ... ma ora farò più attenzione e comincerò a chiudere porte finestre ... non potendo patchare il kernel
cercherò di lavorare con il firewall anche se temo che anche le iptables siano bacate ...
Vediamo quanto dura ...

ma lo volete capire che il firewall serve in casi ristretti per alcuni usi, ma _*NON*_ e' la panacea per mettere in sicurezza tutto dal tostapane alla 15k? se son entrati da ssh loggandosi come affermi, che avresti risolto se avessi avuto un "firewall"? se accetti connessioni da tutti gli ip per determinati servizi a che ti serve il firewall? se apache ha un buco a che ti serve il firewall? se ftpd ha un buco a che ti serve il firewall? se indovinano un account e entrano via ssh a che ti serve il firewall? ecc..
Se devi gestire N servizi publici non puoi pensare che l'hardening di una macchina si riduca all'uso di un "firewall", _*PRIMA*_ _*DEVI*_ tenere aggiornato il software, chiudere i servizi non necessari, mettere in sicurezza (chroot dove possibile, ecc..) quelli necessari, usare mandatory access control dove possibile, systemi di logging centralizzato in aggiunta a quello locale, NIDS (e laddove indicato NIPS), usare password buone e costringere tutti i tuoi utenti a fare altrettanto, ecc.. ecc..; dopo che hai fatto tutte ste cose allora puoi pensare a mettere su un firewall per filtrare tutto il traffico che non e' previsto passi per quella rete; ma di per se con un firewall ci fai la birra a livello di sicurezza perche' il 99% degli attacchi passa proprio con il traffico che per un firewall e' lecito.
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda Luci0 » lun nov 27, 2006 17:08

Innanzi tutto sono un dilettante ... lo ammetto e ne sono abbastanza consapevole ....

Di danni non ho fatti perché il PC era il mio e connesso sulla mia ADSL, se ha smesso di funzionare dopo tre anni, non piange nessuno ... mi é servito per fare dei test ...
.. concordo in linea di massima con quello che dici .

Comunque sono inciampato come un pivello su un keylogger, ho usato una macchina compromessa per collegarmi al mio PC usando l' utente root ... chissa come erano contenti quando hanno ricevuto il log ... ma comunque hanno toppato in pieno montando una busybox totalmente non compatibile ... e hanno crashato il sistema ... la figuretta l' hanno fatta anche loro :-) lamer del cavolo...
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Messaggioda elmetal » sab dic 30, 2006 17:34

Luci0 ha scritto:ma comunque hanno toppato in pieno montando una busybox totalmente non compatibile ... e hanno crashato il sistema

:lol:
Avatar utente
elmetal
Linux 2.6
Linux 2.6
 
Messaggi: 526
Iscritto il: mer set 07, 2005 23:00
Località: Padova

Messaggioda aliencrew » lun gen 29, 2007 18:07

Guarda da i serivizi che ho visto attivi sulla macchina...dovresti chiudere il webmin...o almeno aggiornarlo all'ultima versione...non è un consiglio è un ordine ;-) poi filtra tutto il filtrabile con firewall. Parlo per esperienza server up da 2 anni (orgogliosissimo) mai un hacker.. e di gente che ci ha provato ce n'è stata :-D te lo assicuro..
Avatar utente
aliencrew
Linux 1.0
Linux 1.0
 
Messaggi: 18
Iscritto il: gio dic 07, 2006 1:38

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti

cron