Sistema compromesso?(era Corruzione GlibC e Segmentation F.)

[khazad-dum]

Ciao a tutti.

Questa mattina ho ripreso possesso della mia postazione, e al login ottengo subito un:

[randomaze]

[khazad-dum]

ma che hanno a che fare ctr+alt+del con il mio problema? (e tra l'altro l'ho disabilitato)

[randomaze]

[khazad-dum]

il fatto è che non mi posso permettere ora di fare un reboot...aimè è in produzione...spero di poter fare un reboot a giornata (lavorativa) conclusa.

Ad ogni modo ho aperto un topic anche in Portage & Programming almeno da semplificare le ricerche future per un medesimo problema.

Grazie per il consiglio (non ci avevo ancora pensato a dir la verità):

[khazad-dum]

Niente...nemmeno dopo il reboot.

Ho provato a mettere qualche tbz2, ma non cambia...fa sempre lo scherzo del segfault.

Che faccio? Sono 1/2 disperato

thx in advance

[randomaze]

[FonderiaDigitale]

Dagli errori che riporti, e' molto probabile che tu sia stato bucato.
Comincia staccando la macchina dalla rete ( in quanto chi ha bucato potrebbe avere installato dei binari che nascondono processi come demoni di rete, backdoor ecc, e tu potresti non saperlo ne vederli ).
Poi fai un mirror del tuo disco su un altro supporto per le analisi forensi/di sicurezza, o per vie legali (eventualmente). Questo passo e' fondamentale, a mio avviso.
Adesso prendi un livecd come knoppix, fai il boot, monta il tuo HD e passa al setaccio tutto con tool come chkrootkit o simili per vedere cosa e' successo; una buona distro con tutti i tool di sicurezza e' localareasecurity.
Se sei stato bucato e' molto probabile che i log siano stati ripuliti. Avevi una macchina che loggava in remoto? No? male. Prendi in considerazione l'idea di fartene una.
Sempre partendo dall'ipotesi che tu sia stato compromesso, considera le tue password, chiavi SSH, e quant'altro come non piu valide/sicure/utilizzabili.
A seconda del livello di criticita' delle informazioni che stavano su quella macchina, considera l'invio della copia del disco alla poltel (se non altro per un discorso di tutela assicurativa/legale)

Infine, e FONDAMENTALE, backuppa tutti i dati e le configurazioni che hai modificato e messo su quella macchina e rifalla da 0.

Auguri.
_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica

[khazad-dum]

eheh...grazie lo stesso..ma non è il mio caso. questa macchina è sprovvista di servizi (e non ospita nessun utente, se non me) ed è comunque dietro ad un firewall (Cisco Pix 515). Come se non bastasse, ci sono anche delle simpatiche "regolette" di routing che ne impediscono l'avvicinamento ad esterni . Il problema comunque penso sia dovuto all'uso della flag -U nell'ultimo mio emerge world. Parlando con uno degli sviluppatori, siamo riusciti (forse) ad individuare il problema ...dovrebbero essere le glibc corrotte. Mi ha consigliato di "buttare" su l'ultimo stage3 in sviluppo, così da ripristinare il sistema base, e dare un emerge -u (e non -U) world, dopo un bel sync.

Appena concluderò la vicenda, metterò il topic come [risolto] (tempo permettendo)

Grazie mille comunque.

khazad-dum

[cerri]

Altrimenti puoi usare un livecd e cercare di ricompilare da li le glibc (tipo bootstrap).
_________________
Enjoy your freedom.
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
<----------------------->
Andrea Cerrito

[khazad-dum]

eh anche....il fatto è che volevo fare tutto da casa dato che solitamente ho pochissimo tempo per spippolarla. Logicamente se faccio un maxi pastrocchio, la livecd è qui ad aspettarmi...di sabato...ehehe

grazie a tutti