On Sat, Nov 13, 2010 at 03:36:03PM +0100, Rosario Crispo wrote: > scusate ho detto una caz...... > > I file indicano i tentativi di accesso con root, con utenti di sistema etc. > > Però alcune domande sono sempre valide. Come faccio a sapere se il > sistema è stato bucato??? Indicativamente non credo che tu sia stato bucato, a meno che l'ftp server non sia proftpd >= 1.3.2 <= 1.3.3d Se comuque hai il minimo dubbio, sappi che puoi avere la certezza di essere stato bucato se trovi qualcosa, ma non potrai mai avere la certezza di non essere stato bucato se non lo trovi. Quindi, nel dubbio, e' buona norma sempre reinstallare da zero. Se comunque sia reputi molto molto poco probabile che ti abbiano bucato, e non hai intenzione di fare il formattone, dovresti: 1- avvia il sistema da una livecd 2- fai un check con rkhunter chkrootkit e similari 3- riavvia normalmente, magari con un altro kernel e non il solito che usi 4- ripeti il punto 2 5- usa debsums o equivalenti per pacchetti diversi per verificare che i vari binari siano corretti e non corrotti 6- controlla con netstat, lsof, fuser se ci sono processi o connessioni strane 7- tieni monitorato per un po' di tempo in maniera approfondita l'attivita' di rete 8- controlla bene le versioni del software in uso e nel caso esistano vulnerabilia' note, aggiorna/patcha/firewalla e prendi tutte le precauzioni del caso. In questo modo dovresti raggiungere un buon livello di tranquillita'. -- Franco (nextime) Lanza Busto Arsizio - Italy SIP://casa@casa.nexlab.it NO TCPA: http://www.no1984.org you can download my public key at: http://danex.nexlab.it/nextime.asc || Key Servers Key ID = D6132D50 Key fingerprint = 66ED 5211 9D59 DA53 1DF7 4189 DFED F580 D613 2D50 ----------------------------------- echo 16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D212153574F444E49572045535520454D20454B414D204F54204847554F4E452059415020544F4E4E4143205345544147204C4C4942snlbxq | dc -----------------------------------
Attachment:
signature.asc
Description: PGP signature