[Pluto-security] VErificare un sistema compromesso
Dido
dido@sicurweb.com
Mon, 26 Aug 2002 09:37:17 +0200
Mah, dire qualcosa in poche righe non =E8 facile.. Da quello che ho capito,=
=20
mi sembra che il tuo scopo sia quello di capire se qualcuno =E8 entrato, e=
=20
cos'ha fatto... In genere, senza tripwire non =E8 facile (motivo x cui=20
consiglio sempre di installarlo SUBITO, anche prima di patchare il sistema=
=20
dopo l'installazione: in questo modo, hai anche modo di verificarne=20
l'installazione perch=E8 quando aggiorni un pacchetto lui dovrebbe segnalare=
=20
errore).
Se per=F2 hai installato tutto via rpm, puoi veirficarne la correttezza=
tramite
rpm -Va
(guarda il man per le opzioni di uscita...).
Innanzi tutto cerca se trovi dei file rhost, controlla l'integrit=E0 di=20
/bin/bash, di login, e l'assenza di utenti strani...
Cmq il controllo degli rpm =E8 gi=E0 un buon punto di partenza...
So anche che in rete si trovano dei rootkit-checker, appena trovo il link=20
lo mando..
dido
At 16.33 25/08/2002 -0700, you wrote:
>On Mon, Aug 26, 2002 at 12:30:44AM +0200, Sereni Maurizio wrote:
> > Salve a tutti
> > ho la "quasi" certezza che qualcuno sia penetrato in un server che
> > amministro e vorrei verificare meglio fino a che punto si =E8 spinto e
> > cos'h=E0 combinato.
>
>La cosa ideale sarebbe:
>
>0) stacca il computer dalla rete
>1) fai un backup dell'hardisk usando i programmi che trovi su un cd di
>installazione (i.e. sicuramente non compromessi (beh, si spera))
>2) re-installa da capo il sistema
>3) aggiorna tutti i programmi
>4) riconnetti alla rete il computer
>5) analizza la situazione usando l'immagine dell'hard-disk.
>
>Il punto 5) mi sembra francamente difficile: senza IDS di alcun tipo,
>l'unica informazione che hai e' quella dei vari log, che possono
>essere facilmente modificati...
>Comunque, qui dovresti trovare delle informazioni utili:
>http://rr.sans.org/incident/incident_list.php
>
>HTH,
>Marco