|
|||||||
|
|
|
 |
|
|
Strumenti |
16-11-2005, 11:58
|
#1 |
|
Senior Member
Iscritto dal: Jun 2002
Città: Mestre (VE)
Messaggi: 458
|
mi hanno bucato una macchina
 ok.. colpa mia che non ho aggiornato phpbb.. ma onestamente mi ero anche dimenticato di averlo noto delel cose strane sul server... indago un attimo e... cosa mi trovo?? in /tmp questo bel file: aleks_fixed_pwned_two un bel cat e viene fuori... oopz and sirh0t and Aleks g0t pwned u! ora reinstallo tutto ufff....... che dite? denuncio? me ne frego altamente? io srei per il fregarmene..... da quello che ho capito googleando è uno script che cerca con google possibili vittime, opera in automatico e installa botnet per irc... mah.... ditemi voi!!
__________________
(\_/) (°_°) FELICEMENTE COGLIONE- da oggi anche INDEGNO DI ESSERE ITALIANO! (> <) "Questo è un ribaltamento della realtà" 
|
|
|
|
16-11-2005, 12:40
|
#2 |
|
Senior Member
Iscritto dal: Sep 2001
Città: Roma
Messaggi: 1944
|
e una volta che è installato, che fa? Se il tizio non è stato troppo stronzo, non ti dovrebbe far granchè...
__________________
"Oggi è una di quelle giornate in cui il sole sorge veramente per umiliarti" Chuck Palahniuk Io c'ero |
|
|
|
|
16-11-2005, 15:01
|
#3 |
|
Senior Member
Iscritto dal: Jun 2002
Città: Mestre (VE)
Messaggi: 458
|
bot su irc... decine di bot su irc... suppongo per takkare canali... almeno di solito si usano x quello
__________________
(\_/) (°_°) FELICEMENTE COGLIONE- da oggi anche INDEGNO DI ESSERE ITALIANO! (> <) "Questo è un ribaltamento della realtà"
|
|
|
|
|
16-11-2005, 19:51
|
#4 |
|
Senior Member
Iscritto dal: Oct 2003
Città: La Spezia
Messaggi: 962
|
ti consiglio solo di capire come è riuscito ad entrare, ranzare la macchina ora
sarebbe un errore, al massimo staccala dalla rete e controlla log e processi vari. usa sia i tool di amministrazione come chkrootkit e rkhunter sia il controllo su /proc. reinstallare da 0 senza capire il perchè di un intrusione equivale ad essere un bersaglio nuovamente. fai te, ciao
__________________
  Gigabyte ga-p55-ud6 | Intel i7 860 | 2x2gb Corsair xms3 | Adaptec 2410sa | raid1 barracuda 500gb 7200.12 | Intel x25-m 80gb G2 | ATI radeon 4890 | tutto in downclock (non ho parenti all'enel) |
|
|
|
|
16-11-2005, 22:15
|
#5 |
|
Senior Member
Iscritto dal: Jun 2002
Città: Mestre (VE)
Messaggi: 458
|
il perchè l'ho capito da un bel po' purtroppo... un forum che hosto con phpBB vecchio non aggiornato... e un bug che ti permette di eseguire codice arbitrario... vabbè la macchina è staccata, l'hd staccato e messo da parte per analizzarlo meglio.. altre cose non ce n'erano.. era una macchina abbastanza sicura (qualche cosetta ce l'aveva anche lei.. però aveva un kernel abbastanza solido, gsecurato, ben firewallata, altri accorgimenti) però mi sono entrati in un modo stupidissimo....
ciao
__________________
(\_/) (°_°) FELICEMENTE COGLIONE- da oggi anche INDEGNO DI ESSERE ITALIANO! (> <) "Questo è un ribaltamento della realtà"
|
|
|
|
|
17-11-2005, 15:44
|
#6 |
|
Senior Member
Iscritto dal: Oct 2003
Città: La Spezia
Messaggi: 962
|
benissimo,
fatti una installazione del gcc patchato con stackguard e ricompila il php con quello, ricompila ovviamente la stessa versione per vedere se con il canary attivo riescono lo stesso a bucarti.... prova tu a bucarti ovviamente. grsec gli overflow dovrebbe dropparli un po... mi sembra molto strano cmq. ora non sapendo il modo in cui opera l'exploit ti consiglio anche di dare un limite alle connessioni del web srv con iptables. chroota apache e di conseguenza php e dagli privilegi minimi con utente fatto ad hoc. diciamo come da securing debian manual. ciao
__________________
Gigabyte ga-p55-ud6 | Intel i7 860 | 2x2gb Corsair xms3 | Adaptec 2410sa | raid1 barracuda 500gb 7200.12 | Intel x25-m 80gb G2 | ATI radeon 4890 | tutto in downclock (non ho parenti all'enel) |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 05:55.
