Sono entrati ieri notte in un server, ho trovato un bel file con scritto haked, giusto per farcelo capire e poi una dir con un programmino cha avranno installato.

Nel file di log c'è un "cron" strano, avede qualche idea di quello che sia successo ?

http://www.hwupgrade.it/forum/attachment.php?attachmentid=42150&stc=1

Ti avranno messo una backdoor; per curiosità dai una botta di chkrootkit per vedere cosa rileva. Giusto per curiosità però, in quanto è meglio reinstallare da 0 il sistema visto che la tua macchina potrebbe essere usata come zombie.

Mi avete incuriosito, ho lanciato chkrootkit e va tutto bene tranne:

Checking `sniffer'... eth0: PACKET SNIFFER(/sbin/dhclient[1972], /usr/sbin/zeroconf[1976])
eth0: PACKET SNIFFER(/sbin/dhclient[1972], /usr/sbin/zeroconf[1976])

Immagino sia normale, confermate?

Sì

Grazie ;)

Io devo avere per forza un problema grave, qualche d'uno continua a creare utenti sul server, è ovvio che ci sia un rootkit o che la sicurezza sia compromessa, quello che non capisco è questo :

Ho installato un sistema completamente nuovo venerdì pomeriggio, Suse 10.1, poi lo ho aggiornato.
Venerdì notte qualche d'uno ha creato due utenti per gioco "Sofia" e Inetd", come è possibile ciò ?

Attenzione, stiamo parlando di un server "in produzione" è un server web con ecommerce, siti... la segnalazione alla polizia postale è già stata fatta, ma sapete come vanno le cose in Italia...

Se volete potete aiutarmi a "giocare" con lui :rolleyes:

Questa è la risposta del chkrootkit :

raid:~/Desktop/chkrootkit/chkrootkit-0.46a # ./chkrootkit
ROOTDIR is `/'
./chkrootkit: line 2604: 17985 Done echo "${TROJAN}"
17986 Segmentation fault | ${egrep} "${L_REGEXP}$cmd${R_REGEXP}" >/dev /null 2>&1
Checking `amd'... \c
./chkrootkit: line 2638: amd: command not found
./chkrootkit: line 2604: 17992 Done echo "${TROJAN}"
17993 Segmentation fault | ${egrep} "${L_REGEXP}$cmd${R_REGEXP}" >/dev /null 2>&1
Checking `basename'... \c
basename: missing operand
Try `basename --help' for more information.
./chkrootkit: line 2604: 18001 Done echo "${TROJAN}"
18002 Segmentation fault | ${egrep} "${L_REGEXP}$cmd${R_REGEXP}" >/dev /null 2>&1
Checking `biff'... \c
./chkrootkit: line 2638: biff: command not found
./chkrootkit: line 2604: 18010 Done echo "${TROJAN}"
18011 Segmentation fault | ${egrep} "${L_REGEXP}$cmd${R_REGEXP}" >/dev /null 2>&1
Checking `chfn'... \c
Changing finger information for root.
Enter the new value, or press ENTER for the default

Mah, pialla quel coso prima che ti ritrovi i carabinieri alla porta :cool:

Ci ho provato stanotte, ma il nuovo server ha il sendmail che non riesco a fare funzionare e fino a che non sistemo quello non posso fare partire tutti i siti (tra i quali un ecommerce)

Nel frattempo sono riuscito a contttare il tipo ed in via amichevole mi ha spiegato che è successo, mi ha detto che si è fatto spazio da una falla del PhpAdsNew2 : http://phpadsnew.com/two/nucleus/index.php?itemid=45

Buffo a dirsi, ma sembra che voglia collaborare e dare una mano ora.