| View previous topic :: View next topic |
| Author |
Message |
silverfix
Tux's lil' helper
Joined: 19 Mar 2003
Posts: 146
Location: born: Foggia - now: Bari
|
 Posted: Fri Mar 25, 2005 11:50 pm Post subject: [OT] ahhhh mi bucano il pc+presa per il culo :P |
 |
|
salve,
oltre a bucarmi la box (server 12/24) credo almeno, mi prendono pure per il culo 
| Code: |
Checking `wted'... 10 deletion(s) between Thu Mar 11 17:08:18 2004 and Wed Oct 24 04:39:22 2035
3 deletion(s) between Thu Mar 18 23:19:22 2004 and Fri Mar 19 15:33:43 2004
2 deletion(s) between Mon Mar 22 11:19:54 2004 and Tue Dec 21 10:18:40 2027
1 deletion(s) between Tue Apr 6 15:53:13 2004 and Tue Apr 6 16:18:23 2004
1 deletion(s) between Wed Apr 21 16:11:59 2004 and Wed Apr 21 21:36:28 2004
8 deletion(s) between Tue Aug 10 01:23:07 2004 and Fri Apr 4 20:45:29 1997
1 deletion(s) between Sun Jan 4 01:59:04 1970 and Mon Mar 9 05:29:59 1987
1 deletion(s) between Sun Jan 4 01:57:28 1970 and Wed Oct 26 10:58:54 2005
1 deletion(s) between Mon Sep 13 01:19:58 2004 and Mon Sep 13 13:52:47 2004
6 deletion(s) between Thu Nov 11 12:01:31 2004 and Fri Sep 8 00:28:53 1933
|
notare le date 
idee? interpreto male chkrootkit ?
fucilatemi, sono 6 mesi che non c'ho metalog fra i runlevels.. non chiedetemi logs
_________________
SilverFix - a happy Linux user! |
|
| Back to top |
|
 |
Atomikramp
Apprentice
Joined: 27 Sep 2004
Posts: 200
|
| Posted: Sat Mar 26, 2005 1:58 am Post subject: |
|
|
carica un bell'IDS coi contro******ni di quelli belli che controllano anche i checksum sui file... e vedrai che se ti impegni un po' a quei bimbiminchia gli seghi le gambe....
se ti hanno bucato, non fare affidamento su comandi tipo ps e top per vedere i processi.... perchè molto probabilmente se hanno fatto un lavoro fatto bene han trojanato i binari di sistema...
i log in locale se la macchina è kittata servono a poco... eventualmente sarebbe utile crearne delle copie su un'altra macchina ( possibilmente su un canale secure logging, via VPN o su un'altra interfaccia di rete fisica....
controlla inoltre se la scheda sta lavorando in modalità promisqua... rischi che t'han caricato su uno sniffer....
sono paranoico... non so interpretare bene quanto hai scritto.... ma fidandomi di quanto hai detto... se ti hanno veramente bucato... queste sono le precauzioni che io prenderei in considerazione..... |
|
| Back to top |
|
|
lan
Apprentice
Joined: 06 Mar 2004
Posts: 215
Location: Verona, Italy (Romeo & juliet`s City)
|
| Posted: Sat Mar 26, 2005 8:29 am Post subject: |
|
|
prima cosa stacca quella macchina da internet, fai un portscan su tutte le porte, vedi se ci stanno bindshell o latre porcate varie
salva tutti i dati e poi in OGNI caso pialla quella macchina senza timore e rimetti la gentoo
una curiosità da dove sono entrati? PHPbb? awstats? apache mod_ssl ? o da dove?
Ciao
_________________
--
http://www.giuseppe-marocchio.com
skype: l4nz0r /voice
USH team www.ush.it |
|
| Back to top |
|
|
gutter
Bodhisattva
Joined: 13 Mar 2004
Posts: 7162
Location: Aarau, Aargau, Switzerland
|
| Posted: Sat Mar 26, 2005 8:45 am Post subject: |
|
|
Fai come ha detto lan, stacca la macchina salva i dati e pialla tutto.
Che servizi avevi caricati?
Sarebbe interessante vedere come sono entrati.
_________________
Registered as User #281564 and Machines #163761 |
|
| Back to top |
|
|
.:deadhead:.
Advocate
Joined: 25 Nov 2003
Posts: 2963
Location: Milano, Italy
|
| Posted: Sat Mar 26, 2005 11:04 am Post subject: |
|
|
La cosa principale ora è ripristinare il server con i servizi che offriva. Però fallo con intelligenza:
- salva i dati importanti
- fatti un' immagine del disco, uno stage4 insomma hai un'occasione d'oro per scoprire dove avevi toppato nel setup del precedente server, non sprecarla
-  niente log? ... comincia...
- rimetti in piedi il server, ma solo dopo avel letto questo doc
_________________
Proudly member of the Gentoo Documentation Project: the Italian Conspiracy !  |
|
| Back to top |
|
|
neryo
Veteran
Joined: 09 Oct 2004
Posts: 1292
Location: Ferrara, Italy, Europe
|
| Posted: Sat Mar 26, 2005 11:11 am Post subject: |
|
|
| gutter wrote: |
Che servizi avevi caricati?
Sarebbe interessante vedere come sono entrati. |
quoto
_________________
cache: a safe place for hiding or storing things..
D-link DWL-G650 AirPlus
Apache Php Mysql |
|
| Back to top |
|
|
silverfix
Tux's lil' helper
Joined: 19 Mar 2003
Posts: 146
Location: born: Foggia - now: Bari
|
| Posted: Sat Mar 26, 2005 12:41 pm Post subject: |
|
|
di servizi aperti ho solo cups e mldonkey...
la eth non lavora in modalità promiscua, ho installato metalog e oggi vedo d'improvvisare un firewall (non ci sono dati critici, è solo il mio pc di casa che scarica qualche file su p2p) o magari aspetto qualche gg che mi arrivi il router...
qualcuno parlava di IDS, che cos'è ?
_________________
SilverFix - a happy Linux user! |
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Sat Mar 26, 2005 12:48 pm Post subject: |
|
|
cups ascoltava sulla rete? niente sshd aperto? considera per il futuro di far girare mldonkey sotto chroot....
per gli IDS (intrusion detection system) prova a cercare questo: app-forensics/aide
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
silverfix
Tux's lil' helper
Joined: 19 Mar 2003
Posts: 146
Location: born: Foggia - now: Bari
|
| Posted: Sat Mar 26, 2005 1:08 pm Post subject: |
|
|
nessun sshd aperto e solo ora mi accorgo che la 631 ascoltava sulla rete (provvedo)
mi spieghi il fatto di mldonkey "in gabbia" ?
in che consiste aide?
grazie a tutti raga
_________________
SilverFix - a happy Linux user! |
|
| Back to top |
|
|
Tiro
l33t
Joined: 14 Feb 2003
Posts: 752
Location: italy
|
|
| Back to top |
|
|
silverfix
Tux's lil' helper
Joined: 19 Mar 2003
Posts: 146
Location: born: Foggia - now: Bari
|
| Posted: Sat Mar 26, 2005 1:53 pm Post subject: |
|
|
ho fatto fare un nmap sulla mia macchina da manu... che diamine sono quei servizi filtered 
| Code: |
PORT STATE SERVICE
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
4000/tcp open remoteanything
4444/tcp filtered krb524
6346/tcp open gnutella
|
_________________
SilverFix - a happy Linux user! |
|
| Back to top |
|
|
SilverXXX
l33t
Joined: 18 Sep 2004
Posts: 885
|
| Posted: Sat Mar 26, 2005 2:03 pm Post subject: |
|
|
Esagerato! (magari pero gli fa bene, così impara per la prossima volta  )
Cmq consiglio la guida gentoo sulla sicurezza, letta (non applicata per mancanza di voglia al mio serverino) e l'ho trovata ottima.
ps Io li tengo il log 
_________________
about:mozilla |
|
| Back to top |
|
|
silverfix
Tux's lil' helper
Joined: 19 Mar 2003
Posts: 146
Location: born: Foggia - now: Bari
|
| Posted: Sat Mar 26, 2005 2:07 pm Post subject: |
|
|
bene ora ho chiuso tutte le porte (almeno nmap mi dice così, oltre quelle filtered che sono visibili solo portscannando dall'esterno, bsolar mi diceva che forse sono gateway del mio ISP).
da dove cacchio potrebbe entrare ora?
mi vado a leggere quella guida, thx
_________________
SilverFix - a happy Linux user! |
|
| Back to top |
|
|
neryo
Veteran
Joined: 09 Oct 2004
Posts: 1292
Location: Ferrara, Italy, Europe
|
| Posted: Sat Mar 26, 2005 2:21 pm Post subject: |
|
|
| Cazzantonio wrote: |
per gli IDS (intrusion detection system) prova a cercare questo: app-forensics/aide |
Fico mi sa che lo faccio girare sul mio serverino casalingo!
_________________
cache: a safe place for hiding or storing things..
D-link DWL-G650 AirPlus
Apache Php Mysql |
|
| Back to top |
|
|
GhePeU
Guru
Joined: 12 Aug 2003
Posts: 549
Location: Mestre, Italy
|
| Posted: Sat Mar 26, 2005 5:04 pm Post subject: |
|
|
ma sei sicuro che ti abbiano bucato sul serio? a me chkrootkit ha cominciato a rilevare due cancellazioni del genere dopo un crash
_________________
That is not dead which can eternal lie,
and with strange aeons even death may die. |
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Sat Mar 26, 2005 7:02 pm Post subject: |
|
|
| silverfix wrote: | | mi spieghi il fatto di mldonkey "in gabbia" ? |
io ho usato questo:
https://forums.gentoo.org/viewtopic-t-185310-highlight-mldonkey+chroot.html
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
silverfix
Tux's lil' helper
Joined: 19 Mar 2003
Posts: 146
Location: born: Foggia - now: Bari
|
| Posted: Sat Mar 26, 2005 8:08 pm Post subject: |
|
|
| GhePeU wrote: | | ma sei sicuro che ti abbiano bucato sul serio? a me chkrootkit ha cominciato a rilevare due cancellazioni del genere dopo un crash |
no infatti non sono assolutamente sicuro, ma sono le date che mi puzzano! non può essere un errore di chkrootkit
_________________
SilverFix - a happy Linux user! |
|
| Back to top |
|
|
alkaid
Guru
Joined: 21 Feb 2004
Posts: 322
Location: Padova
|
| Posted: Mon Mar 28, 2005 4:02 pm Post subject: |
|
|
1933  |
|
| Back to top |
|
|
bld
l33t
Joined: 26 Mar 2003
Posts: 759
Location: Outter Space
|
| Posted: Tue Mar 29, 2005 8:37 am Post subject: booh |
|
|
| silverfix wrote: | bene ora ho chiuso tutte le porte (almeno nmap mi dice così, oltre quelle filtered che sono visibili solo portscannando dall'esterno, bsolar mi diceva che forse sono gateway del mio ISP).
da dove cacchio potrebbe entrare ora?
mi vado a leggere quella guida, thx |
Inanzi tutto cups ascolta sulla porta 631, ma da default ascolta solo sulla 127.0.0.1 (localhost). Se non hai nessun'altra porta aperta eccetto mldonkey mi sempra strano che siano entrati sul tuo computer `via mldonk`, ma e' sempre acceso il tuo computer di casa?
Da quello che ho capito la tua conessione e' adsl, un modem/router che fa da gateway per il tuo computer. Dipende dal modello il mio no aveva porte aperte da default. La maggior parte dei modem/router sono molto facili da crack-are con un bruteforce se telnetd/interfacia-di-gestione-web e' apperta sulla rete con programmi come questo tanto per citarne uno..
Se non usi la modalita bridge e non hai aperto tu le porte al router, non credo che il tuo router le apra da solo, magari avra qualcuna apperta da default ma non tutte, allora nmap ha scannato il router e non il host.
Da quel che hai scritto direi che probabilmente hai scaricato ed eseguito qualche programino da internet che non dovevi!!
Un altra ipotesi sarebbe un client side vulnerability per programmi come irc-clients e/o browsers, ma anche in questo caso mi sempra che si sia aperto un tunnel ad una high port tra il tuo computer ed un host esterno.. per bypassare il router, cioe' in teoria il router dovrebbe lasciar passare dal esterno al interno solamente quello che tu gli hai detto, sempre che ce ne sia uno.. e sempre che non hai settato un bridge.
Usa qualcuno altro il computer eccete te?
Facci sapere se trovi qualcos'altro.
[edit] non e' che per caso usi fastweb come isp, e fai parte della M.A.N. di fastweb?? ip del tipo 10.133.x.x
_________________
A happy GNU/Linux user!! |
|
| Back to top |
|
|
AlterX
l33t
Joined: 03 Apr 2004
Posts: 754
Location: rm -rf /*
|
| Posted: Tue Mar 29, 2005 9:05 am Post subject: |
|
|
| silverfix wrote: | ho fatto fare un nmap sulla mia macchina da manu... che diamine sono quei servizi filtered
| Code: |
PORT STATE SERVICE
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
4000/tcp open remoteanything
4444/tcp filtered krb524
6346/tcp open gnutella
|
|
le porte 135/139 e 445 indicano che hai una macchina con windows sopra (quella interna forse)
quella strana, secondo me che ha permesso l'ingresso, visto che non è filtrata, è la 4000!!
Anche la 4444, se puoi toglila
Tutte considerazioni ovviamente personali:lol: |
|
| Back to top |
|
|
rota
l33t
Joined: 13 Aug 2003
Posts: 960
|
| Posted: Tue Mar 29, 2005 9:52 am Post subject: |
|
|
| per il futuro ..installati anche Tripwire.... |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
