Intrusi dentro linux?!

[Braga83]

Due minuti fa mi è successa una cosa strana.... per caso ho dato un occhio a gkrellm e ho visto che mi segnava ben 4 utenti contro i 2 soliti: apro il controllo di sistema di kde e vede che in effetti c'è il mio user, root, lp con un solo processo chiamato "cupsd" ma soprattutto un certo utente "nobody" col il servizio portmap. Adesso io non sono molto pratico di linux e forse sono un po' paranoico però do' un occhiata a log di sistema e in effetti vedo che un il famoso nobody aveva fatto il login e dato il comando "su" con successo....

Ora mi chiedo:

1) E' un'intrusione quella che ho visto?
2) Se si cosa puo' aver fatto questo nobody? ( immagino di tutto se era veramente root )
3) E' possibile che sia diventato root senza scoprire la pwd?
4) Se l'ha scoperta come può aver fatto? Stiamo parlando cmq di una pwd di più di otto caratteri alfa numerici. Per comodità usavo la stessa sia per lo user che per il root ma non per altri servizi ( email ecc....)

Eppure avevo il firewall2 di suse attivo e avevo disattivato l'opzione per l'amministrazione remota.

Questo è uno stralcio del log di sistema:

Jan 12 17:15:42 linux su: (to nobody) root on none
Jan 12 17:15:42 linux su: pam_unix2: session started for user nobody, service su


Allora che ne pensate? Ma soprattutto che mi consigliate di fare per migliorare la sicurarezza? Come si fa a cambiare la psw di root?

[ilsensine]

Quote:

Originariamente inviato da Braga83
1) E' un'intrusione quella che ho visto?

E' un po' poco dire che si tratta di una intrusione. Non mi sembra.

Quote:

2) Se si cosa puo' aver fatto questo nobody? ( immagino di tutto se era veramente root )

nobody è un profilo utente di sistema. Alcuni servizi girano con profilo nobody. Sulla mia Mandrake, portmap gira come utente rpc -- è possibile che la tua distribuzione lo faccia girare come nobody.
E' improbabile che ti serva portmap, puoi disabilitarlo.

Quote:

Jan 12 17:15:42 linux su: (to nobody) root on none
Jan 12 17:15:42 linux su: pam_unix2: session started for user nobody, service su

Forse è stato lanciato un servizio tramite "su nobody -c <programma>" da uno script di avvio. E' sospetto se la data non si riferisce al periodo di avvio.

[Braga83]

Quote:

Originariamente inviato da ilsensine

Forse è stato lanciato un servizio tramite "su nobody -c <programma>" da uno script di avvio. E' sospetto se la data non si riferisce al periodo di avvio.

No il Pc era stato avviato qualche ora prima. Il fatto è che avevo notato anche un'anomala attività della dsl che, nonostante avessi chiuso tutti gli applicativi che sfruttavano la banda, avevo sempre un 15-20 Kb/s occupati.

Cmq mi potersti linkare un how-to su come configurare il firewall sotto linux? Vorrei capire di più come funziona linux e poi non mi fido troppo delle impostazioni di default di suse.

[ilsensine]

Quote:

Originariamente inviato da Braga83
Cmq mi potersti linkare un how-to su come configurare il firewall sotto linux? Vorrei capire di più come funziona linux e poi non mi fido troppo delle impostazioni di default di suse.

http://www.netfilter.org/documentati...ing-HOWTO.html
http://www.netfilter.org/documentati...NAT-HOWTO.html
Leggi questo se ti servono concetti di base:
http://www.netfilter.org/documentati...pts-HOWTO.html

Nota che un fw _non_ ti protegge da vulnerabilità di programmi che accedono a Internet. Metti un server web buggato ad esempio, e puoi divertirti con tutti i fw che vuoi a verificarne l'inutilità.

[Braga83]

Lo so' che il firewall non serve niente contro i programmi buggati, è per questo che aggiorno spesso il software con YastOnLine, però dovrebbe perlomeno proteggere da i vari port scan e tentativi di intrusione esterni.


Grazie mille per i link!

[_YTS_]

è vero che su un servizio buggato poco ci fai, ma talvolta e in alcuni casi, alcune configurazioni di firewall possono essere d'aiuto.

mi ricordo ad esempio un bug sploitabile da remoto di apache.....
funzionava instaurando circa una 30ina di connessioni e provando alcuni script.
bene se il servizio in questione fosse stato limitato in connessioni ricevute da uno stesso ip, esso probabilmente sarebbe risultato immune.
certo sono casi limite e da prendere con le pinzette, pero il firewall è OBBLIGATORIO.

ciao

[ilsensine]

Quote:

Originariamente inviato da _YTS_
mi ricordo ad esempio un bug sploitabile da remoto di apache.....
funzionava instaurando circa una 30ina di connessioni e provando alcuni script.
bene se il servizio in questione fosse stato limitato in connessioni ricevute da uno stesso ip, esso probabilmente sarebbe risultato immune.

Non fattibile; molti servizi di connettività danno ai client un ip non connesso, ed effettuano una NAT tramite alcuni gateway. Così riceveresti parecchie connessioni da un singolo ip, però di diversi utenti.
Quello che si fa (con cautela) è limitare il numero di connessioni al secondo. Questa tecnica è utile però solo contro i DoS; se un worm fa così, allora è buggato anche il worm