[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[linux_var] Re: intrusioni

To: talking@ml.linuxvar.it
Subject: [linux_var] Re: intrusioni
From: Rosario Crispo <rcrispo@gmail.com>
Date: Sat, 13 Nov 2010 15:36:03 +0100
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id :disposition-notification-to:date:from:user-agent:mime-version:to :subject:references:in-reply-to:content-type :content-transfer-encoding; bh=X3mcpOl+g+hl7t0iCOWn2cDvn1ElcBbvZfH/9oGveJs=; b=UqQADLlNiVN4l4T8EbAnyUIRTxNagmO+ds+hC/NkyJz3FEjCPobmj89C0bWCCB3YXn rKSFWj2r19V+MbadpACnSYZdtzBm+KbgtM/XSvCkw3JeptwLaFDmp7TiJIAV0A2Z+2i5 uyPTJAkFnoRCMyn6/uMWlN59u9OdDRuo3v9r8=
Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:disposition-notification-to:date:from:user-agent :mime-version:to:subject:references:in-reply-to:content-type :content-transfer-encoding; b=cY6pbdi//QuI+bZ4TnZrOvwIoODVTXyek4HWPsde3pWay8Scc5/MX7+oZWi0W+JfBB OQagNLpMmqLbUNOUzxpCy4HW/eDPdJ2VVV9PT3yxyHc2j4aIJVz3YwPezwCZlBdHrpM3 r51DiEM5yZHbQuXsHNg9t7HrAkIaUkvWmnbmk=
In-reply-to: <4CDE96B0.8000608@gmail.com>
List-archive: <http://ml.linuxvar.it/wws/arc/talking>
List-help: <mailto:sympa@ml.linuxvar.it?subject=help>
List-id: <talking.ml.linuxvar.it>
List-owner: <mailto:talking-request@ml.linuxvar.it>
List-post: <mailto:talking@ml.linuxvar.it>
List-subscribe: <mailto:sympa@ml.linuxvar.it?subject=subscribe%20talking>
List-unsubscribe: <mailto:sympa@ml.linuxvar.it?subject=unsubscribe%20talking>
References: <AANLkTimprmgfYRKHeUjk4gvZhW8hj_TmRADhzOL3WOKh@mail.gmail.com> <20101110093021.GB21934@cathedral.local.trueelena.org> <AANLkTinkyUe1VKkP7KcC3CvstTqKXPH_nj85yy3YSO_s@mail.gmail.com> <20101113111001.GC27949@cathedral.local.trueelena.org> <4CDE96B0.8000608@gmail.com>
Reply-to: talking@ml.linuxvar.it
User-agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; it-IT; rv:1.8.1.24) Gecko/20100228 Lightning/0.9 Thunderbird/2.0.0.24 Mnenhy/0.7.6.666

scusate ho detto una caz......

I file indicano i tentativi di accesso con root, con utenti di sistema etc.

Però alcune domande sono sempre valide. Come faccio a sapere se ilsistema è stato bucato???


Manca qualcosa per renderlo sicuro???


Ciao

Ross


Il 2010/11/13 14:46, Rosario Crispo ha scritto:

Ciao

avevo messo su un piccolo server ftp e per la scuola ora anche web conla mia solita debian.

Avevo anche ssh attivo con chiave per accesso da remoto, fail2ban edenyhost.

Cercando di capire come funziona linux avevo iniziato a capire ogniprogramma installato e mi sono imbattuto in dnyhost e ho trovato checi sono presenti 2 file


host-valid, host e host-root e host-restricted.

Mi aspettavo di trovare che host-valid e root contenessero solo ip dadove mi sono collegato. Cioè da due posti. Casa mia e il mio ufficio.

Ma mio malgrado ho scoperto che ci sono una miriade di ip in questifile e whois dice che sono di mezzo mondo.

Vuol dire che hanno bucato il sistema???? non sarebbe un problema maallora ho fatto solo una parte del lavoro e non ho preso tutte leprecauzioni possibili.


Come faccio a sapere se il sistema è stato bucato???

Ora ho svuotato i file e vedo che continuano a riempirsi.

Quanto mi devo preoccupare???

Suggerimenti ??? Volete divertirvi a bucare il sistema???


Ciao
Ross


parte di host-valid

83.233.149.162:0:Thu Sep 23 20:55:17 2010
84.246.226.225:0:Sun Nov  7 22:01:44 2010
85.17.155.24:0:Thu Oct 28 09:33:32 2010
85.249.223.151:0:Thu Sep 23 20:55:17 2010
85.37.38.220:0:Tue Oct 26 17:17:28 2010
85.97.138.14:0:Wed Nov  3 23:44:31 2010
87.2.205.174:0:Thu Sep 23 20:55:17 2010
87.206.123.104:0:Tue Oct  5 22:48:02 2010
87.216.177.25:0:Thu Sep 23 20:55:17 2010
87.5.191.152:0:Sun Oct 31 18:34:41 2010
88.103.114.118:0:Mon Oct  4 12:03:56 2010
88.191.16.42:0:Thu Sep 23 20:55:17 2010
88.236.93.134:0:Thu Sep 23 20:55:17 2010
88.240.87.46:0:Sat Oct 23 12:21:08 2010
89.188.32.41:0:Wed Oct  6 19:08:34 2010
89.47.225.2:0:Sun Nov  7 13:40:12 2010
90.1.220.141:0:Thu Sep 23 20:55:16 2010
91.205.172.241:0:Sat Nov  6 21:09:41 2010


parte di host-root
109.126.9.247:0:Thu Sep 23 20:55:17 2010
109.200.105.2:0:Thu Sep 23 20:55:17 2010
109.53.196.141:0:Thu Sep 23 20:55:17 2010
109.53.218.244:0:Thu Sep 23 20:55:17 2010
109.53.221.130:0:Thu Sep 23 20:55:17 2010
109.54.0.173:0:Thu Sep 23 20:55:17 2010
109.54.28.173:0:Thu Sep 23 20:55:17 2010
110.77.129.165:0:Thu Sep 23 20:55:17 2010
112.172.129.87:0:Thu Sep 23 20:55:17 2010
112.216.52.50:0:Fri Oct 29 12:15:04 2010
113.105.128.254:0:Thu Oct 14 08:36:49 2010
113.31.18.14:0:Thu Oct 14 04:10:49 2010
114.142.159.38:0:Wed Nov 10 20:43:00 2010
114.207.113.39:0:Thu Sep 23 20:55:17 2010
115.113.253.5:0:Thu Sep 23 20:55:17 2010


--
Per cancellare l'iscrizione: <talking-unsubscribe at ml.linuxvar.it>
Archivi web e configurazione: http://ml.linuxvar.it/ml/

Follow-Ups:
- Re: [linux_var] Re: intrusioni
  - From: "Mr. P|pex" <gianluca@pipex.name>
- Re: [linux_var] Re: intrusioni
  - From: nextime <nextime@nexlab.it>

References:
- [linux_var] qualcuno ha i cd/dvd centos
  - From: Giovanni Orlandi <orlangio@gmail.com>
- Re: [linux_var] qualcuno ha i cd/dvd centos
  - From: Elena ``of Valhalla'' <elena.valhalla@gmail.com>
- Re: [linux_var] qualcuno ha i cd/dvd centos
  - From: Giovanni Orlandi <orlangio@gmail.com>
- Re: [linux_var] qualcuno ha i cd/dvd centos
  - From: Elena ``of Valhalla'' <elena.valhalla@gmail.com>
- [linux_var] intrusioni
  - From: Rosario Crispo <rcrispo@gmail.com>

Prev by Date: [linux_var] intrusioni
Next by Date: [linux_var] nome variabili
Previous by thread: [linux_var] intrusioni
Next by thread: Re: [linux_var] Re: intrusioni
Index(es):
- Date
- Thread