Re: [ml] suckit

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Settembre 2004 ml@sikurezza.org
Soggetto: Re: [ml] suckit
Mittente: Stefano
Data: Fri, 10 Sep 2004 23:38:26 +0200 (CEST)

Il ven, 2004-09-10 alle 21:50, Igor Falcomata' ha scritto:
> NOTA:  dissento profondamente  con l'idea  di formattare  e reinstallare
> senza capire cos'abbia portato all'intrusione,  i danni avvenuti e tutto
> quanto  sia necessaio  per  un'analisi forsense  almeno sommaria...  poi
> ognuno ha le sue opinioni.

concordo!
io ti propongo di analizzare molto attentamente i servizi pubblici
attivi, leggasi anche cosa era in esecuzione sulla macchina ed era
pubblicamente accessibile.
A questo punto analizza i demoni installati e verifica le loro
vulnerability (note). 
Visto che si tratta di una RH 7.3 verifica il livello di "update" dei
servizi: per esempio apache e' stato sicuramente aggiornato piu' di una
volta da RH e a partire dal 1/1/2004 sicuramente non ha avuto piu
aggiornamenti.
ti puo' aiutare il comando rpm (man rpm per maggiori dettagli).
 
Insomma dei fare lo stato dell'arte di ogni componente del sistema che
era pubblicamente accessibile (il Kernel stesso potrebbe essere soggetto
ad attacchi da remoto.....e RH ha rilasciato molte patch a tale
proposito).

Dopo di che...sai da quale parte sono entrati e da li inizi la tua
analisi forense.

Ciao

In risposta a:
- Re: [ml] suckit, Igor Falcomata'

Data:
- precedente: Re: [ml] Novità del simpatico XP SP2, Marco d'Itri
- successivo: Re: [ml] Problema con Mysql, Gelpi Andrea
- indice

Argomento:
- precedente: Re: [ml] suckit, Igor Falcomata'
- successivo: [ml] bypass rbl+ su postfix, Marco Bucci
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005