[Pluto-security] VErificare un sistema compromesso
|\/| A |\| |) |2 I ( U S
mandricus@libero.it
Wed, 04 Sep 2002 20:20:14 +0200
Sereni Maurizio wrote:
>
> Salve a tutti
> ho la "quasi" certezza che qualcuno sia penetrato in un server che
> amministro e vorrei verificare meglio fino a che punto si è spinto e
> cos'hà combinato.
>
> Ho rilavato la probabile intrusione semplicemente aggiungendo un utente
> al sistema e notando poi con un semplice last di verifica che
> quest'utente si era collegato quasi due mesi prima che io lo creassi. So
> che ci sono alcuni programmi che mi permettono di verificare il file
> utmp ma sinceramente vorrei sapere come scovare un root-kit se per caso
> è stato installato.
>
> Da notare che su quella macchina non c'è ne Tripwire nè altri IDS e non
> mi sembra che abbia senso installarlo adesso. Per conto mio ho già
> disinstallato ssh e chiuso tutte le porte che potevo, ma è un proxy e
> più di tanto non posso fare.N.B. Monta RH 7.2
>
> Grazie a tutti in anticipo
> Rizio
>
forse arrivo un po' in ritardo ma sono tornato solo ieri dallo splendido
mare della sardegna ;-)
innanzitutto potresti confrontare i checksum (MD5 ad esempio) dei tuoi
binari in /bin, e dei files presenti in /etc con qualche backup della
macchina, o meglio ancora con quelli originali che trovi sul cd di
installazione.... ti accorgi subito se qualcosa e' stato modificato...
dai un'occhiata anche che non sia cambiato qualche permesso sui file