Mi hanno attaccato!!!

[figulus]

Sono in una lan con suse 9.1. La lan è protetta da un firewall superblindato (anche troppo), ma nonostante questo ho subito un attacco, credo dunque dall'interno.

Stavo navigando con mozilla quando la spia del disco fisso a cominciato a restare accesa. Mi sono insospettito e ho lanciato una shell: ho dato il comando top e ho visto un sacco di comandi in esecuzione, tipo cat , mdap (o qualcosa del genere). Allora ho staccato il cavo di rete.

Come faccio a recuperare i dati dell'attacco? In /var/log ci sono i log di sistema, ma non ho trovato quelli dell'attività di rete.
iptables (configurato con ACCEPT dovunque) ha un suo log? Ho trovato lo script iptraffic, ma avrei dovuto lanciarlo prima dell'attacco. Non c'è nulla che possa andare a vedere per recuperare l'ip del bastardo?

[ilsensine]

Nei log di sistema trovi anche i login (se il tizio ha usato "su", ssh ecc.)

nb nelle distro vengono periodicamente lanciati script di manutenzione, che impegnano il disco per un pò.

[bort_83]

Quote:

Originariamente inviato da figulus
Sono in una lan con suse 9.1. La lan è protetta da un firewall superblindato (anche troppo), ma nonostante questo ho subito un attacco, credo dunque dall'interno.

lol ... spero sia sarcasmo il tuo..

scherzi a parte ... il firewall logga se c'è una regola contenente

" -j LOG "

[Cascio78]

Quote:

Originariamente inviato da ilsensine
Nei log di sistema trovi anche i login (se il tizio ha usato "su", ssh ecc.)

nb nelle distro vengono periodicamente lanciati script di manutenzione, che impegnano il disco per un pò.

Condivido in pieno...Specialmente per la suse 9.1 .....l'archivio usato da locate per esempio!!!


La prossima volta cheti succede prova con a digitare LAST oppure w oppure who ....Sono piu efficaci del top...

Bye!!

[l.golinelli]

Molto probabilmente era updatedb

[NA01]

cmq se hai 40mb di ram da spendere puoi installare snort, genera un sacco di falsi allarmi, ma sembra funzionare bene una volta che impari a distinguere le cose.
inoltre puoi anche modificare le regole a tuo piacimento, e se riesci a usare la versione giusta delle libnet anche a fare una sostituzione di iptables (può droppare quello che vuoi in maniera molto più elastica dato che le regole possono anche controllare il contenuto del pacchetto)


io cmq uso iptables come firewall, se funzionasse bene uguale credo che non sarebbe un ids ma un firewall

cia

[Hal2001]

Quote:

Originariamente inviato da figulus
Sono in una lan..ho subito un attacco, credo dunque dall'interno

Per curiosità dov'eri?

[figulus]

Quote:

Per curiosità dov'eri?

Abito in una residenza universitaria cablata.

Quote:

nb nelle distro vengono periodicamente lanciati script di manutenzione, che impegnano il disco per un pò.

Infatti non mi sono allarmato quando ho visto la spia del disco, ma quando ho visto che in esecuzione c'erano:
cat
md5
qualcosa come mdap

il che non è normale nel caso di una manutenzione, no?

Inoltre ho Suse da poco ma con tutte le altre distro locate si doveva aggiornare "a manina" con updatedb...

[figulus]

Quote:

Nei log di sistema trovi anche i login (se il tizio ha usato "su", ssh ecc.)

In /var/log sono andato a guardare messages e localmessages, ma non c'era nulla di rilevante.

Comunque mi sembra difficile che si trattasse di un programma di manutenzione in background perché nel momento esatto in cui ho staccato il cavo di rete l'accesso al disco si è fermato e i programmi "sospetti" pure.... top è ritornato a dare le solite cose.
Tra l'altro sono stato stupido perché preso dal panico ho staccato il cavo prima di controllare chi fosse il proprietario di questi processi "sospetti"...

[Psycotic]

auth c'e' l'hai abilitato nel syslog?

[figulus]

Quote:

auth c'e' l'hai abilitato nel syslog?

E come si fa a vederlo? Ed eventualmente ad abilitarlo?

[Cascio78]

Quote:

Originariamente inviato da figulus
In /var/log sono andato a guardare messages e localmessages, ma non c'era nulla di rilevante.

Comunque mi sembra difficile che si trattasse di un programma di manutenzione in background perché nel momento esatto in cui ho staccato il cavo di rete l'accesso al disco si è fermato e i programmi "sospetti" pure.... top è ritornato a dare le solite cose.
Tra l'altro sono stato stupido perché preso dal panico ho staccato il cavo prima di controllare chi fosse il proprietario di questi processi "sospetti"...

Era un programma di manutenzione sicuramente........E' possibile che sia cessato quando tu hai staccato Eth perche il sitema deve essere redy to go al bisogno....


Cntrolla con il comando last......vedrai tutti gli accessi e le relative postazioni...

Bye