Re: [ml] suckit

NOTA:  dissento profondamente  con l'idea  di formattare  e reinstallare
senza capire cos'abbia portato all'intrusione,  i danni avvenuti e tutto
quanto  sia necessaio  per  un'analisi forsense  almeno sommaria...  poi
ognuno ha le sue opinioni.

bye
Koba (moderatore)

----- Forwarded message from ml-owner(at)sikurezza.org -----
From: xxx xxx
Subject: Re: [ml] suckit
Date: Fri, 10 Sep 2004 17:10:58 +0200

In quei casi io dico: la prima cosa da fare e non fare niente.
Nel senso che dal momento in cui tu ti accorgi che qualcuno
e' entrato su una tua macchina lui c'e' gia' da un po' e magari
ti sta monitorando per cui se capisce che te ne sei accorto,
preso dal panico puo' fare un rm -rf / e ciao

Se vuoi sapere chi e' cmq attacca il pc alla rete, metti uno sniffer nel
mezzo, vedi da quale ip si collega, stacca la rete e puoi tranquillamente
formattare :)
Una volta che hai l'ip dovresti conttattare il network admin di quella rete
e capire se ha usato un bounce oppure se e' proprio lui (sarebbe un fesso).

Non cercare di capire chi e' dalla macchina compromessa perche'
tanto avra' montato un rootkit quindi ps, netstat, md5sum, ecc...
saranno farlocchi.

Il suckit se non erro si installa come modulo del kernel, logga in un file
quello che viene scritto quindi se da quel pc hai fatto ssh su un altro
server
lui logga anche le password digitate.
http://www.openskills.info/view/boxdetail.php?IDbox=20&boxtype=stdout

Sulle altre macchine fai girare dei chkrootkit (www.chkrootkit.org)
o cose tipo rkhunter (http://www.rootkit.nl/)

BTW... ti conviene formattare e tenere aggiornato il pc :)
Ciaps

xxx

N.B.: io non mi fido di sk -u

----- Original Message ----- 
[..]
----- End forwarded message -----