[Pluto-security] VErificare un sistema compromesso

Sereni Maurizio rizio@database.it
Mon, 26 Aug 2002 00:30:44 +0200


Salve a tutti
ho la "quasi" certezza che qualcuno sia penetrato in un server che
amministro e vorrei verificare meglio fino a che punto si è spinto e
cos'hà combinato.

Ho rilavato la probabile intrusione semplicemente aggiungendo un utente
al sistema e notando poi con un semplice last di verifica che
quest'utente si era collegato quasi due mesi prima che io lo creassi. So
che ci sono alcuni programmi che mi permettono di verificare il file
utmp ma sinceramente vorrei sapere come scovare un root-kit se per caso
è stato installato.

Da notare che su quella macchina non c'è ne Tripwire nè altri IDS e non
mi sembra che abbia senso installarlo adesso. Per conto mio ho già
disinstallato ssh e chiuso tutte le porte che potevo, ma è un proxy e
più di tanto non posso fare.N.B. Monta RH 7.2

Grazie a tutti in anticipo
Rizio


P.S. Scusate il primo post, avevo l'indirizzo sbagliato.... ragioni di
famiglia...


--
<<Messaggio verificato dal servizio antivirus di Database Informatica>>