Re: [ml] Mi hanno bucato il server

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2007 ml@sikurezza.org
Soggetto: Re: [ml] Mi hanno bucato il server
Mittente: Federico Lombardo
Data: Mon, 12 Feb 2007 09:59:25 +0100 (CET)

Ciao,
prima di tutto: CALMA
seconda cosa: cosa vuoi farci con la tua macchina compromessa, ammesso che
lo sia?
questa è una decisione cruciale al fine di identificare le migliori azioni
investigative.

Se non ti interessa, puoi semplicemente formattare il tutto.
Ti ricordo che una tua macchina interna è TRUSTED, questo non vuol dire
che è fidata, ma vuol dire, nell'accezione anglofona del termine, che ti
può fare più danni delle altre, quindi il pensare di riutilizzarla una
volta sanitizzata vuol dire esporsi ad un rischio enorme!

Se invece hai intenzione di effettuare un'analisi approfondita, direi che
le soluzioni da applicare immediatamente sono, nell'ordine:

staccare il disco, mountarlo ro (e sottolineo ro) su di un'altra macchina
ed effettuare una copia fisica con dd per poi analizzare il tutto in un
secondo momento, con calma.

Ci sono "n" guide con "n" tools in giro per la rete, fammi sapere se ti
serve qualcosa.

> fatto  girare rkhunter e chkrootkit ma non ho trovato nulla.

Direi che se non è uno scemo, avrà usato qualche codice polimorfico (so'
figo con sti termini eh?), quindi la tua soluzione investigativa sarà la
reinstallazione di util-linux e binutils (se dimentico qualcosa
ricordatemelo) e la reinstallazione di un kernel, possibilmente con la
patch grsecurity o PaX assolutamente togliendo la modalità modulare e
vietando la scrittura sui vari device di memoria.

qualche debug ti aiuterà a vedere se c'è qualcosa che all'avvio tenta di
inserire codice nel kernel.

Fatto questo, ed ammesso che tu sia stato compromesso, puoi decidere se
vuoi vedere cosa fa il tuo amico o no (approccio honeynet).
Nel caso specifico potresti installare il modulo Sebek o qualche keylogger
e vedere cosa succede, integrando il tutto con un bel IDS in modalità
sniffer.

ah, dimenticavo, un bel honeyd installato su quella porta con opzione
forense per vedere il tizio che fa quando si collega ? :-)


Cmq, se facessi un bel bzippone della tua immagine e la pubblicassi, non
ti nascondo che ci dispiacerebbe darci un'occhiatella veloce, anche se la
vecchiaia e la ruggine incominciano a farsi sentire!


Baci,


Federico

Messaggi successivi:
- Re: [ml] Mi hanno bucato il server, NN_il_Confusionario
- Re: [ml] Mi hanno bucato il server, Flavio Visentin

In risposta a:
- [ml] Mi hanno bucato il server, cuccucuccu@xxxxxx
- Re: [ml] Mi hanno bucato il server, Marco Bizzantino

Data:
- precedente: Re: [ml] Mi hanno bucato il server, Marco Bizzantino
- successivo: [ml] Mail dictionary attack, Domenico Viggiani
- indice

Argomento:
- precedente: Re: [ml] Mi hanno bucato il server, Marco Bizzantino
- successivo: Re: [ml] Mi hanno bucato il server, Flavio Visentin
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005