[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Settembre 2004 ml@sikurezza.org Soggetto: Re: [ml] suckit Mittente: N0bodY88 Data: Fri, 10 Sep 2004 19:52:17 +0200 (CEST)
On Wed, 08 Sep 2004 18:27:30 +0200, Marco Bellini <seathrun@xxxxxxxxxx> wrote: > ciao a tutti, > scusate la banalità della domanda ma non ho esperienza nel campo. > stasera abbiamo trovato una macchina (vecchia red hat 7.3) bucata, > perché all'avvio si presentava la scritta che diceva che veniva avviato > suckit. > l'abbiamo staccata dalla rete, ovviamente. vorrei sapere quale sarebbe > la migliore prassi da seguire per cercare di capire > 1. chi è entrato > 2. come ha fatto (forse un overflow di apache, am come faccio a > verificarlo? appena posso posto i log di apache con quella riga > sospetta...) > 3. se ha compromesso altre macchine > > in sintesi, vorrei sapere come muovermi per non perdere dati utili e > fare danni... suggerimenti o letture da fare sono ben accetti! > > grazie > > Marco Ciao innanzitutto ti consiglio come prima cosa in assoluto di montare il disco della rh 7.3 su un'altra macchina come disco secondario e farti un immagine con dd (esempio dd if=/dev/hda1 of=/immagine-x-forensics) dopodiche' ci sono diversi tool e diverse filosofie per ricostruire l'accaduto. Quello che ti consiglio io e' di leggerti l'articolo seguente composto di 3 pagine: http://www.linuxsecurity.com/feature_stories/ftp-analysis-part1.html http://www.linuxsecurity.com/feature_stories/ftp-analysis-part1-2.html http://www.linuxsecurity.com/feature_stories/ftp-analysis-part1-3.html In tale articolo Anton Chuvakin spiega come ha approcciato una macchina bucata tolta dalla produzione (in quanto non necessaria/vitale x la ditta) e cita diversi tool di Forensics quali http://www.fish.com/tct/ e http://www.porcupine.org/forensics/tct.html. Nello stesso articolo Anton cita anche pagine/tool x recoverare e (x tua fortuna) l'os su cui ha dovuto operare tecniche di Forensics era proprio una Red Hat 7.2 (poco diversa dalla 7.3 imo) quindi il mio consiglio e' leggiti l'articolo in questione e prova ad applicare cio' che ha fatto Anton provando con gli stessi tool che ha usato (e spiegato) lui, oltre a questo puoi provare a fare delle prove con chkrootkit o tool simili ma ricordati la cosa piu' importante e' farsi l'immagine iniziale dello stato attuale della macchina cosi' da poter trovare anche eventuali pacchetti/tool utilizzati x "hackare" il sistema e tentare di recoverarli. Ti segnalo inoltre un bellissimo pdf scritto da uno dei migliori CISSP italiani (Andrea Ghirardini aka Pila) sull'argomento esposto al Webbit nel 2002 e hostato sullo stesso sito che stai leggendo ^^ -> http://www.sikurezza.org/webbit02/computer-forensics.pdf . Sperando di esserti stato utile ti saluto ^^ N0bodY88 Spippolatori & Olografix Proud Member "Secondo alcuni autorevoli testi di tecnica di aeronautica, il calabrone non può volare, a causa della forma e del peso del proprio corpo in rapporto alla superficie alare. Ma il calabrone non lo sa e perciò continua a volare" Igor I. Sikorsky
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005