Re: tentativo di sfondamento?

> Beh direi che quei "exiting on signal 11" a raffica mi sembrano proprio un
> tentivo di exploit dato che sono dei seg fault, che ne dite?
> E se fossero riusciti ad entrare? che cosa mi consigliate di controllare
> oltre a porte aperte e programmi strani in memoria?
> grassie....

Suggerirei un cd pulito con su lsof, netstat ed un po' di altra roba del
genere caricata sopra (possibilmente statica, togliamoci il pensiero di
librerie "taroccate") da lanciare sulla macchina attaccata , un nmap da
una macchina sulla stessa sottorete (tipo il classico portatile attaccato
al volo) con porte nel range 1-65535 sia su tcp che udp, analisi del
traffico generato dalla macchina, ricompilazione dei servizi che avevi
attivato sul server (o reinstallazione dei pacchetti corrispondenti,
compilati su una macchina "sicura"), indipendentemente dai risultati dei
controlli. Ovviamente, se ce l'avevi, i log di un sistema di controllo di
integrita' dei file (Tripwire, Aide, Samhain), i log di sistema (specie se
loggavi su una macchina remota, come sarebbe buona cosa fare). Infine, un
po' di uso creativo di mc (per la serie "se dovessi nascondermi, dove mi
nasconderei?") alla caccia di qualche traccia (non contarci troppo,
comunque).

Per esperienza personale suggerisco anche, se il sistema ospita un server
web, di controllare i file di script (si sa mai che ne spuntino di nuovi,
o magari con qualche funzionalita' aggiunta).

Questo per restare tranquillo un po', fino a quando hai tempo di
reinstallare e riconfigurare tutto con la calma necessaria (cioe' il prima
possibile).

Ok, diciamo che questo sarebbe quello che farei io. Qualche idea o
suggerimento aggiuntivo?
Ciao.

Michele Albrigo


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List