View previous topic :: View next topic |
Author |
Message |
silverfix Tux's lil' helper
Joined: 19 Mar 2003 Posts: 146 Location: born: Foggia - now: Bari
|
Posted: Fri Mar 25, 2005 11:50 pm Post subject: [OT] ahhhh mi bucano il pc+presa per il culo :P |
|
|
salve,
oltre a bucarmi la box (server 12/24) credo almeno, mi prendono pure per il culo
Code: |
Checking `wted'... 10 deletion(s) between Thu Mar 11 17:08:18 2004 and Wed Oct 24 04:39:22 2035
3 deletion(s) between Thu Mar 18 23:19:22 2004 and Fri Mar 19 15:33:43 2004
2 deletion(s) between Mon Mar 22 11:19:54 2004 and Tue Dec 21 10:18:40 2027
1 deletion(s) between Tue Apr 6 15:53:13 2004 and Tue Apr 6 16:18:23 2004
1 deletion(s) between Wed Apr 21 16:11:59 2004 and Wed Apr 21 21:36:28 2004
8 deletion(s) between Tue Aug 10 01:23:07 2004 and Fri Apr 4 20:45:29 1997
1 deletion(s) between Sun Jan 4 01:59:04 1970 and Mon Mar 9 05:29:59 1987
1 deletion(s) between Sun Jan 4 01:57:28 1970 and Wed Oct 26 10:58:54 2005
1 deletion(s) between Mon Sep 13 01:19:58 2004 and Mon Sep 13 13:52:47 2004
6 deletion(s) between Thu Nov 11 12:01:31 2004 and Fri Sep 8 00:28:53 1933
|
notare le date
idee? interpreto male chkrootkit ?
fucilatemi, sono 6 mesi che non c'ho metalog fra i runlevels.. non chiedetemi logs _________________ SilverFix - a happy Linux user! |
|
Back to top |
|
|
Atomikramp Apprentice
Joined: 27 Sep 2004 Posts: 200
|
Posted: Sat Mar 26, 2005 1:58 am Post subject: |
|
|
carica un bell'IDS coi contro******ni di quelli belli che controllano anche i checksum sui file... e vedrai che se ti impegni un po' a quei bimbiminchia gli seghi le gambe....
se ti hanno bucato, non fare affidamento su comandi tipo ps e top per vedere i processi.... perchè molto probabilmente se hanno fatto un lavoro fatto bene han trojanato i binari di sistema...
i log in locale se la macchina è kittata servono a poco... eventualmente sarebbe utile crearne delle copie su un'altra macchina ( possibilmente su un canale secure logging, via VPN o su un'altra interfaccia di rete fisica....
controlla inoltre se la scheda sta lavorando in modalità promisqua... rischi che t'han caricato su uno sniffer....
sono paranoico... non so interpretare bene quanto hai scritto.... ma fidandomi di quanto hai detto... se ti hanno veramente bucato... queste sono le precauzioni che io prenderei in considerazione..... |
|
Back to top |
|
|
lan Apprentice
Joined: 06 Mar 2004 Posts: 215 Location: Verona, Italy (Romeo & juliet`s City)
|
Posted: Sat Mar 26, 2005 8:29 am Post subject: |
|
|
prima cosa stacca quella macchina da internet, fai un portscan su tutte le porte, vedi se ci stanno bindshell o latre porcate varie
salva tutti i dati e poi in OGNI caso pialla quella macchina senza timore e rimetti la gentoo
una curiosità da dove sono entrati? PHPbb? awstats? apache mod_ssl ? o da dove?
Ciao _________________ --
http://www.giuseppe-marocchio.com
skype: l4nz0r /voice
USH team www.ush.it |
|
Back to top |
|
|
gutter Bodhisattva
Joined: 13 Mar 2004 Posts: 7162 Location: Aarau, Aargau, Switzerland
|
Posted: Sat Mar 26, 2005 8:45 am Post subject: |
|
|
Fai come ha detto lan, stacca la macchina salva i dati e pialla tutto.
Che servizi avevi caricati?
Sarebbe interessante vedere come sono entrati. _________________ Registered as User #281564 and Machines #163761 |
|
Back to top |
|
|
.:deadhead:. Advocate
Joined: 25 Nov 2003 Posts: 2963 Location: Milano, Italy
|
Posted: Sat Mar 26, 2005 11:04 am Post subject: |
|
|
La cosa principale ora è ripristinare il server con i servizi che offriva. Però fallo con intelligenza:
- salva i dati importanti
- fatti un' immagine del disco, uno stage4 insomma hai un'occasione d'oro per scoprire dove avevi toppato nel setup del precedente server, non sprecarla
- niente log? ... comincia...
- rimetti in piedi il server, ma solo dopo avel letto questo doc _________________ Proudly member of the Gentoo Documentation Project: the Italian Conspiracy ! |
|
Back to top |
|
|
neryo Veteran
Joined: 09 Oct 2004 Posts: 1292 Location: Ferrara, Italy, Europe
|
Posted: Sat Mar 26, 2005 11:11 am Post subject: |
|
|
gutter wrote: |
Che servizi avevi caricati?
Sarebbe interessante vedere come sono entrati. |
quoto _________________ cache: a safe place for hiding or storing things..
D-link DWL-G650 AirPlus
Apache Php Mysql |
|
Back to top |
|
|
silverfix Tux's lil' helper
Joined: 19 Mar 2003 Posts: 146 Location: born: Foggia - now: Bari
|
Posted: Sat Mar 26, 2005 12:41 pm Post subject: |
|
|
di servizi aperti ho solo cups e mldonkey...
la eth non lavora in modalità promiscua, ho installato metalog e oggi vedo d'improvvisare un firewall (non ci sono dati critici, è solo il mio pc di casa che scarica qualche file su p2p) o magari aspetto qualche gg che mi arrivi il router...
qualcuno parlava di IDS, che cos'è ? _________________ SilverFix - a happy Linux user! |
|
Back to top |
|
|
Cazzantonio Bodhisattva
Joined: 20 Mar 2004 Posts: 4514 Location: Somewere around the world
|
Posted: Sat Mar 26, 2005 12:48 pm Post subject: |
|
|
cups ascoltava sulla rete? niente sshd aperto? considera per il futuro di far girare mldonkey sotto chroot....
per gli IDS (intrusion detection system) prova a cercare questo: app-forensics/aide _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
Back to top |
|
|
silverfix Tux's lil' helper
Joined: 19 Mar 2003 Posts: 146 Location: born: Foggia - now: Bari
|
Posted: Sat Mar 26, 2005 1:08 pm Post subject: |
|
|
nessun sshd aperto e solo ora mi accorgo che la 631 ascoltava sulla rete (provvedo)
mi spieghi il fatto di mldonkey "in gabbia" ?
in che consiste aide?
grazie a tutti raga _________________ SilverFix - a happy Linux user! |
|
Back to top |
|
|
Tiro l33t
Joined: 14 Feb 2003 Posts: 752 Location: italy
|
|
Back to top |
|
|
silverfix Tux's lil' helper
Joined: 19 Mar 2003 Posts: 146 Location: born: Foggia - now: Bari
|
Posted: Sat Mar 26, 2005 1:53 pm Post subject: |
|
|
ho fatto fare un nmap sulla mia macchina da manu... che diamine sono quei servizi filtered
Code: |
PORT STATE SERVICE
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
4000/tcp open remoteanything
4444/tcp filtered krb524
6346/tcp open gnutella
|
_________________ SilverFix - a happy Linux user! |
|
Back to top |
|
|
SilverXXX l33t
Joined: 18 Sep 2004 Posts: 885
|
Posted: Sat Mar 26, 2005 2:03 pm Post subject: |
|
|
Esagerato! (magari pero gli fa bene, così impara per la prossima volta )
Cmq consiglio la guida gentoo sulla sicurezza, letta (non applicata per mancanza di voglia al mio serverino) e l'ho trovata ottima.
ps Io li tengo il log _________________ about:mozilla |
|
Back to top |
|
|
silverfix Tux's lil' helper
Joined: 19 Mar 2003 Posts: 146 Location: born: Foggia - now: Bari
|
Posted: Sat Mar 26, 2005 2:07 pm Post subject: |
|
|
bene ora ho chiuso tutte le porte (almeno nmap mi dice così, oltre quelle filtered che sono visibili solo portscannando dall'esterno, bsolar mi diceva che forse sono gateway del mio ISP).
da dove cacchio potrebbe entrare ora?
mi vado a leggere quella guida, thx _________________ SilverFix - a happy Linux user! |
|
Back to top |
|
|
neryo Veteran
Joined: 09 Oct 2004 Posts: 1292 Location: Ferrara, Italy, Europe
|
Posted: Sat Mar 26, 2005 2:21 pm Post subject: |
|
|
Cazzantonio wrote: |
per gli IDS (intrusion detection system) prova a cercare questo: app-forensics/aide |
Fico mi sa che lo faccio girare sul mio serverino casalingo! _________________ cache: a safe place for hiding or storing things..
D-link DWL-G650 AirPlus
Apache Php Mysql |
|
Back to top |
|
|
GhePeU Guru
Joined: 12 Aug 2003 Posts: 549 Location: Mestre, Italy
|
Posted: Sat Mar 26, 2005 5:04 pm Post subject: |
|
|
ma sei sicuro che ti abbiano bucato sul serio? a me chkrootkit ha cominciato a rilevare due cancellazioni del genere dopo un crash _________________ That is not dead which can eternal lie,
and with strange aeons even death may die. |
|
Back to top |
|
|
Cazzantonio Bodhisattva
Joined: 20 Mar 2004 Posts: 4514 Location: Somewere around the world
|
Posted: Sat Mar 26, 2005 7:02 pm Post subject: |
|
|
silverfix wrote: | mi spieghi il fatto di mldonkey "in gabbia" ? |
io ho usato questo:
https://forums.gentoo.org/viewtopic-t-185310-highlight-mldonkey+chroot.html _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
Back to top |
|
|
silverfix Tux's lil' helper
Joined: 19 Mar 2003 Posts: 146 Location: born: Foggia - now: Bari
|
Posted: Sat Mar 26, 2005 8:08 pm Post subject: |
|
|
GhePeU wrote: | ma sei sicuro che ti abbiano bucato sul serio? a me chkrootkit ha cominciato a rilevare due cancellazioni del genere dopo un crash |
no infatti non sono assolutamente sicuro, ma sono le date che mi puzzano! non può essere un errore di chkrootkit _________________ SilverFix - a happy Linux user! |
|
Back to top |
|
|
alkaid Guru
Joined: 21 Feb 2004 Posts: 322 Location: Padova
|
Posted: Mon Mar 28, 2005 4:02 pm Post subject: |
|
|
1933 |
|
Back to top |
|
|
bld l33t
Joined: 26 Mar 2003 Posts: 759 Location: Outter Space
|
Posted: Tue Mar 29, 2005 8:37 am Post subject: booh |
|
|
silverfix wrote: | bene ora ho chiuso tutte le porte (almeno nmap mi dice così, oltre quelle filtered che sono visibili solo portscannando dall'esterno, bsolar mi diceva che forse sono gateway del mio ISP).
da dove cacchio potrebbe entrare ora?
mi vado a leggere quella guida, thx |
Inanzi tutto cups ascolta sulla porta 631, ma da default ascolta solo sulla 127.0.0.1 (localhost). Se non hai nessun'altra porta aperta eccetto mldonkey mi sempra strano che siano entrati sul tuo computer `via mldonk`, ma e' sempre acceso il tuo computer di casa?
Da quello che ho capito la tua conessione e' adsl, un modem/router che fa da gateway per il tuo computer. Dipende dal modello il mio no aveva porte aperte da default. La maggior parte dei modem/router sono molto facili da crack-are con un bruteforce se telnetd/interfacia-di-gestione-web e' apperta sulla rete con programmi come questo tanto per citarne uno..
Se non usi la modalita bridge e non hai aperto tu le porte al router, non credo che il tuo router le apra da solo, magari avra qualcuna apperta da default ma non tutte, allora nmap ha scannato il router e non il host.
Da quel che hai scritto direi che probabilmente hai scaricato ed eseguito qualche programino da internet che non dovevi!!
Un altra ipotesi sarebbe un client side vulnerability per programmi come irc-clients e/o browsers, ma anche in questo caso mi sempra che si sia aperto un tunnel ad una high port tra il tuo computer ed un host esterno.. per bypassare il router, cioe' in teoria il router dovrebbe lasciar passare dal esterno al interno solamente quello che tu gli hai detto, sempre che ce ne sia uno.. e sempre che non hai settato un bridge.
Usa qualcuno altro il computer eccete te?
Facci sapere se trovi qualcos'altro.
[edit] non e' che per caso usi fastweb come isp, e fai parte della M.A.N. di fastweb?? ip del tipo 10.133.x.x _________________ A happy GNU/Linux user!! |
|
Back to top |
|
|
AlterX l33t
Joined: 03 Apr 2004 Posts: 754 Location: rm -rf /*
|
Posted: Tue Mar 29, 2005 9:05 am Post subject: |
|
|
silverfix wrote: | ho fatto fare un nmap sulla mia macchina da manu... che diamine sono quei servizi filtered
Code: |
PORT STATE SERVICE
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
4000/tcp open remoteanything
4444/tcp filtered krb524
6346/tcp open gnutella
|
|
le porte 135/139 e 445 indicano che hai una macchina con windows sopra (quella interna forse)
quella strana, secondo me che ha permesso l'ingresso, visto che non è filtrata, è la 4000!!
Anche la 4444, se puoi toglila
Tutte considerazioni ovviamente personali:lol: |
|
Back to top |
|
|
rota l33t
Joined: 13 Aug 2003 Posts: 960
|
Posted: Tue Mar 29, 2005 9:52 am Post subject: |
|
|
per il futuro ..installati anche Tripwire.... |
|
Back to top |
|
|
|