:muro: :muro:

ok.. colpa mia che non ho aggiornato phpbb.. ma onestamente mi ero anche dimenticato di averlo :muro: :muro:

noto delel cose strane sul server... indago un attimo e... cosa mi trovo??

in /tmp questo bel file:

aleks_fixed_pwned_two

un bel cat e viene fuori...

oopz and sirh0t and Aleks g0t pwned u!


:muro: :muro: :muro: :muro:


ora reinstallo tutto ufff.......


che dite? denuncio? me ne frego altamente?

io srei per il fregarmene.....

da quello che ho capito googleando è uno script che cerca con google possibili vittime, opera in automatico e installa botnet per irc...

mah.... ditemi voi!!

e una volta che è installato, che fa? Se il tizio non è stato troppo stronzo, non ti dovrebbe far granchè...

bot su irc... decine di bot su irc... suppongo per takkare canali... almeno di solito si usano x quello :sofico:

ti consiglio solo di capire come è riuscito ad entrare, ranzare la macchina ora
sarebbe un errore, al massimo staccala dalla rete e controlla log e processi vari.
usa sia i tool di amministrazione come chkrootkit e rkhunter sia il controllo su /proc.

reinstallare da 0 senza capire il perchè di un intrusione equivale ad essere un bersaglio nuovamente.

fai te, ciao

il perchè l'ho capito da un bel po' purtroppo... un forum che hosto con phpBB vecchio non aggiornato... e un bug che ti permette di eseguire codice arbitrario... vabbè la macchina è staccata, l'hd staccato e messo da parte per analizzarlo meglio.. altre cose non ce n'erano.. era una macchina abbastanza sicura (qualche cosetta ce l'aveva anche lei.. però aveva un kernel abbastanza solido, gsecurato, ben firewallata, altri accorgimenti) però mi sono entrati in un modo stupidissimo....

ciao

benissimo,
fatti una installazione del gcc patchato con stackguard e ricompila il php con quello, ricompila ovviamente la stessa versione per vedere se con il canary attivo riescono lo stesso a bucarti.... prova tu a bucarti ovviamente.

grsec gli overflow dovrebbe dropparli un po... mi sembra molto strano cmq.

ora non sapendo il modo in cui opera l'exploit ti consiglio anche di dare un limite alle connessioni del web srv con iptables.

chroota apache e di conseguenza php e dagli privilegi minimi con utente fatto ad hoc.

diciamo come da securing debian manual.

ciao