Re: [ml] Mi hanno bucato il server

On 2/6/07, cuccucuccu@xxxxxx <cuccucuccu@xxxxxx> wrote:
> Salve a tutti,
[...]
> Io ho
> fatto  girare rkhunter e chkrootkit ma non ho trovato nulla.

Se non hanno compromesso la macchina a livello di kernel ma solo
sostituito alcuni binari, o comunque stanno girando servizi in qualche
modo nascosti", prova a verificare se i processi in esecuzione
rilevabili con ps sono gli stessi che trovi in /proc, ad esempio:

cd /proc
for i in `seq 1 33000`; do test -f $i/cmdline && (cat $i/cmdline; echo $i); done

e confrontane l'output.

> Ho poi
> fatto un NMAP e mi risulta aperta una porta 34845...
> Ho cercato di
> capire quale processo è in ascolto...ma con netstat
> non mi da nessuna
> informazioni...

Prova da fuori, da un'altra macchina, e magari fai anche un telnet su
quella porta.
Tutte le operazioni che fai da dentro la macchina "compromessa" danno
risultati non attendibili.


> Oppure l'unica soluzione
> è reinstallare tutto ?

io sono contrario al formattone, a meno che non sia una macchina che
non puo' restare down per troppo tempo, ma anche in quel caso sono
piu' dell'idea di sostituirla con un'altra e indagare su quella
compromessa.
Con un po' di pazienza e metodo si arriva praticamente sempre a capire
cosa e' successo, e questo ti aiuta anche in situazioni future.


ciao
bizza