Re: Attacco?

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2003 ml@sikurezza.org
Soggetto: Re: Attacco?
Mittente: Luca Sartoni
Data: 12 Feb 2003 22:42:57 -0000

Non è possibile, invece che i log ti abbiano soffocato la macchina, senza 
alcun attacco reale?

Alle 12:22, martedì 11 febbraio 2003, Bizza ha scritto:
> Premessa:
> -  server freebsd 4.7, per fortuna di scarsa importanza
> - alcuni miei errori grossolani che pero' (penso) mi abbiano salvato :)
> 
> La macchine in questione e' solo un server di test, dove provo le mie
> cose,
 niente di piu'.
> Primo errore: non ho partizionato l'hd durante l'installazione e quindi
> esistono
 solo / e swap.
> Avevo la necessita' di forwardare la porta 22 alla 222, sempre sulla
> stessa
 macchina, in modo trasparente, senza quindi dover passare il
> parametro -p ad ogni connessione ssh.
> Quindi ho messo sshd in ascolto sulla 222 e con rinetd forwardavo le
> richieste
 ricevute sulla 22 alla 222.
> Questa era solo una situazione temporanea in quanto sto studiando la
> sintassi di
 ipfw per fare tutto tramite firewall in modo da eliminare
> rinetd. Me ne sono dimenticato... tutto andava ok.. e rinetd e' rimasto li'
> fino a ieri. 
> Ieri appunto noto che dal server non c'e' piu' traffico, il sito web e'
> irraggiungibile, come pure il server mail e il login remoto viene
> rifiutato.
 Allora accedo fisicamente alla macchina ma neppure da qui posso
> fare nulla... il login rimane li' in attesa ma non entro.
> Riavvio per ripristinare il sistema,  monto l'hd e scopro che e' occupato
> al
 118% (??): la causa di tutto e' il file /var/log/rinetd.log di 6.1Gb!!
> La dimensione eccessiva dal file mi ha impedito di aprirlo, anche se
> presumibilmente il suo contenuto sarebbe stato solo spazzatura.
> Gli altri log non mi sono stati di aiuto in quanto erano "turned over" e
> la
 parte interessante dovrebbe essere stata scritta in  un nuovo file di
> log solo che non c'era piu' spazio nell'hd!!
> Oppure l'attacco e' partito parecchio tempo fa, gradualmente fino a ieri,
> e
 vista la natura del server, puntualmente i vecchi log venivano
> cancellati. Per ripristinare il servizio allora ho semplicemente cancellato
> rinetd.log (ovviamente adesso rinetd non gira sul sistema :P ).
> 
> La mia idea (e speranza) e' che l'eventuale attaccante, non sapendo del
> disco
 non partizionato, volesse esaurire lo spazio in /var e quindi poi
> fare i suoi comodi, solo che cosi' facendo ha esaurito lo spazio su hd ed 
> e' rimasto tagliato fuori.
> A questo punto mi domando: come posso esserne sicuro? Se ha trovato un baco
> in
 uno dei servizi, questo non e' stato risolto cancellando il file e
> quindi sono ancora vulnerabile, a meno che il buco non ria stato proprio in
> rinetd. E com'e' possibile ingigantire di cosi' tanto un file di log in
> poco tempo? 
> Non sono un esperto di freebsd, la mia esperienza e' quasi tutta su linux,
> e
 magari qualche altra mia distrazione e' possibile.
> 
> Ciao
> Bizza
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List

-- 
Luca Sartoni
Spring Italia s.r.l.
liste@lucasartoni.com

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Attacco?, Bizza

In risposta a:
- Attacco?, Bizza

Data:
- precedente: Re: password fields in win2000, [UE]ZgSTar[UE]
- successivo: Re: Un modo di contare le macchine "NATtate"..., Acid Guy
- indice

Argomento:
- precedente: Re: Attacco?, Paolo Perego
- successivo: Re: Attacco?, Bizza
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005