[PLUTO-security] Log iptables, non mi tornano i conti!

Andrea Dinale andrea at dinale.it
Tue Jul 15 10:51:26 CEST 2003


Alle 00:40, martedì 15 luglio 2003, Andrea Dinale ha scritto:

> Devo controllare nei backup, se ho una versione del file di log
> immediatamente posteriore al portscan, nella speranza di cavarne
> qualche info utile!

avete presente la legge di murphy? per una serie di coincidenze 
improbabili, non ho ricavato alcuna informazione utile dai backup!
Quindi posso solo formulare alcune ipotesi.

1) il file di log è stato nodificato da chi ha compiuto lo scan.

perchè:	per cancellare le tracce di cio che ha fatto.

come: 	non con un login diretto da console (da last risultano solo login
		remoti), dovrebbe aver effettuato il log dal mio pc, e la cosa non 
		è da escludere, ci sono alcuni moneti della giornata dove il mio
		computer resta incustodito.
		A meno che non siano state cancellate le tracce anche da last.
		E' poco probabile che sia stato fatto uno shell exploit, dato che il
		sistema è sempre aggiornato.

probab.:	Medio - alta

2) il file è stato modificato accidentalmente da me, menre interrogavo i 	
		file di log.

probab.:	Bassa, perchè le ananisi sono state compiute QUASI tutte in una
		copia del file di log, non nell'originale. Nel file .bash_history di
		root non trovo comandi tipo "vim /var/log/messages" e gli unici editor
		che uso sono solo vim o mcedit. Con il primo potrebbe anche scappare 
		un copia incolla, ma con il secondo è molto più diffcicile.
		In più la stringa che è stata aggiunta con l'ipotetico copia-incolla 
		è stata succesivamente modificata (61474 --> 1487)


Ora non mi viene in mente altro, se avete altre ipotesi ben venga!

Andrea




More information about the pluto-security mailing list