Re: krb4_or_pwd breakin?

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Settembre 2002 ml@sikurezza.org
Soggetto: Re: krb4_or_pwd breakin?
Mittente: Michele Albrigo
Data: 6 Sep 2002 11:05:24 -0000

> ti consiglio di leggere tutto il treadh
> http://online.securityfocus.com/archive/104/285237/2002-07-28/2002-08-03/1
> DarkElf

Gia' fatto. Ci sono un po' di importanti differenze tra il mio caso e
quello del thread.
1) chi chiede aiuto nel thread ha potuto notare delle differenze tra
dimensioni e checksum dei suoi comandi di sistema (indice di rootkit),
mentre da me Samhain non ha rilevato niente di anomalo.
2) sempre il tipo del thread afferma che la box openbsd che ha subito
l'intrusione non era stata patchata, mentre io sono sicuro di averlo
fatto (annotazioni, date dei file, verifica della versione di sshd, da
locale e da remoto con sshscan).
3) sulla sua macchina i processi sono attivi, da me risultano bloccati
all'uscita. In particolare risulta bloccato all'uscita il processo (login)
associato a ttyC0, corrispondente alla console su F1, bloccata anch'essa
(e l'altro admin afferma che questa si e' inchiodata mentre faceva
logout).

Questo per dire che il mio caso e' un po' piu' dubbio di quello del
thread...
Ciao
Michele Albrigo



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Re: krb4_or_pwd breakin?, DarK-Elf

Data:
- precedente: Re: strano bof nel traceroute..., kta17
- successivo: Re: strano bof nel traceroute..., snhyper
- indice

Argomento:
- precedente: Re: krb4_or_pwd breakin?, DarK-Elf
- successivo: Controllo del relay, Gelpi Andrea - Liste
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005