... sono entrati !! [Risolto]

[Luci0]

rootkit e password cambiate .. ma hanno lasciato una traccia grossa così nei log e i moduli del rootkit andavano in segmentation fault ... di gente che non ha nulla da fare se ne trova sempre tanta... !! maledetti lameracci

Speravo dietro un ip dinamico di farla franca ( una slack 9.0 con un modem interno PCI ADSL che é su da circa tre anni ) anche se non mi azzardavo a ricompilare il kernel ... della serie sono riuscito a far andare il modem ora non tocco più niente ... in tal caso fare manutenzione seria é problematico ... l'ho rimesso su con le ultime patch di apache & co.. spero bastino !!

[snak3z]

Oltre apache avevi altri servizi attivi?

[Luci0]

Almeno una 10na ... con un firewall gShield
ftp
ssh
smtp
http
vnc
mldonkey
pop3
webmin
mysql
ma devo dire che non avevo mai avuto grossi problemi ... ma ora farò più attenzione e comincerò a chiudere porte finestre ... non potendo patchare il kernel
cercherò di lavorare con il firewall anche se temo che anche le iptables siano bacate ...
Vediamo quanto dura ...

[l1q1d]

ma è un pc o un gruviera? Direi che avevano molte possibilità per entrare.
Da dove sono entrati esattamente?

[snak3z]

domanda + che lecita direi...

Fossi in te mi sarei preoccupato di capire quale servizio ti hanno bucato,

Gli upgrade e le patch sono essenziali se vuoi mantenere il tuo sistema + sicuro possibile, sopratutto se lo lasci on line.

Pui anche filtrare con iptables o qualsiasi altro fw, ma se un servizio lo lasci attivo e quindi fai passare il traffico su tale porta,
non può di certo proteggerti dai buffer overflow e vulnerabitità varie.

[Luci0]

Certo se bisogna usare i servizi questi sono esposti e quindi soggetti ad attacchi... ho chiuso pop3 e smtp che me li ero dimenticati accesi dopo aver fatto dei test dall'esterno ... ma credo che siano passati da proftp o meglio hanno tentato di indovinare utenti e password anche se questa attività é precedente di circa una settimana al fattaccio, (il 12 settembre alle ore 01 di mattina)... ftp lo ho disattivato per il momento. il rootkit dovrebbe essere bindshell almeno ... quello che dice chkrootkit ...(c' é qualcosa in ascolto sulla porta 4000)... comunque diversi comandi della directory /bin erano stati modificati ma alcuni non riuscivano ad andare in esecuzione. finendo malamente in segmentation fault ... comunque ho dallle tarball dell' installazione originale e ho ripristinato i comandi fasulli con quelli buoni, ho bannato gli indirizzi degli attacchi con iptables...
... sto analizzando i log che sembrano integri anche se credo che preparerò una macchina aggiornata ....
...

[l1q1d]

Quindi ti sono entrati dal ftp?

[Luci0]

Non lo so ... non lo so ... non ho ancora analizzato a fondo i log ...

[Luci0]

Risolto ... un keylogger su una macchina Windows di un cliente ...
una bella leggerezza, la prossima volta riavvio il PC con una distribuzione LIVE così dovrei essere al sicuro ...
... meditate gente ... meditate

[IceSlack]

eh ma intato io disconnetterei la macchina bucata da internet

[Luci0]

Il PC l' ho sostituito e poi ho capito l' arcano... sono entrati da ssh loggandosi correttamente poi ho trovato in giro molti spyware e keylogger durante una campagna di disinfestazione di PC Windows (inutile dire che erano PC con antivirus installato e correttamente funzionante) e poi ho compreso l' enorme leggerezza (leggi ca**ata che avevo compiuto .).

.P.S .Mai fidarsi di un PC sconosciuto con Windows (TM) e Antivirus...

P.P.S. A proposito di keylogger io ho riscontrato un aumento della "virulenza" di questo tipo di trojan ma non ho conservato i log degli antivirus ... se ho altre info apro un nuovo post ...

[masalapianta]

Almeno una 10na ... con un firewall gShield
ftp
ssh
smtp
http
vnc
mldonkey
pop3
webmin
mysql
ma devo dire che non avevo mai avuto grossi problemi ... ma ora farò più attenzione e comincerò a chiudere porte finestre ... non potendo patchare il kernel
cercherò di lavorare con il firewall anche se temo che anche le iptables siano bacate ...
Vediamo quanto dura ...

ma lo volete capire che il firewall serve in casi ristretti per alcuni usi, ma _*NON*_ e' la panacea per mettere in sicurezza tutto dal tostapane alla 15k? se son entrati da ssh loggandosi come affermi, che avresti risolto se avessi avuto un "firewall"? se accetti connessioni da tutti gli ip per determinati servizi a che ti serve il firewall? se apache ha un buco a che ti serve il firewall? se ftpd ha un buco a che ti serve il firewall? se indovinano un account e entrano via ssh a che ti serve il firewall? ecc..
Se devi gestire N servizi publici non puoi pensare che l'hardening di una macchina si riduca all'uso di un "firewall", _*PRIMA*_ _*DEVI*_ tenere aggiornato il software, chiudere i servizi non necessari, mettere in sicurezza (chroot dove possibile, ecc..) quelli necessari, usare mandatory access control dove possibile, systemi di logging centralizzato in aggiunta a quello locale, NIDS (e laddove indicato NIPS), usare password buone e costringere tutti i tuoi utenti a fare altrettanto, ecc.. ecc..; dopo che hai fatto tutte ste cose allora puoi pensare a mettere su un firewall per filtrare tutto il traffico che non e' previsto passi per quella rete; ma di per se con un firewall ci fai la birra a livello di sicurezza perche' il 99% degli attacchi passa proprio con il traffico che per un firewall e' lecito.

[Luci0]

Innanzi tutto sono un dilettante ... lo ammetto e ne sono abbastanza consapevole ....

Di danni non ho fatti perché il PC era il mio e connesso sulla mia ADSL, se ha smesso di funzionare dopo tre anni, non piange nessuno ... mi é servito per fare dei test ...
.. concordo in linea di massima con quello che dici .

Comunque sono inciampato come un pivello su un keylogger, ho usato una macchina compromessa per collegarmi al mio PC usando l' utente root ... chissa come erano contenti quando hanno ricevuto il log ... ma comunque hanno toppato in pieno montando una busybox totalmente non compatibile ... e hanno crashato il sistema ... la figuretta l' hanno fatta anche loro lamer del cavolo...

[elmetal]

ma comunque hanno toppato in pieno montando una busybox totalmente non compatibile ... e hanno crashato il sistema

[aliencrew]

Guarda da i serivizi che ho visto attivi sulla macchina...dovresti chiudere il webmin...o almeno aggiornarlo all'ultima versione...non è un consiglio è un ordine poi filtra tutto il filtrabile con firewall. Parlo per esperienza server up da 2 anni (orgogliosissimo) mai un hacker.. e di gente che ci ha provato ce n'è stata te lo assicuro..