[PLUTO-security] Log iptables, non mi tornano i conti!
Andrea Dinale
andrea at dinale.it
Tue Jul 15 10:51:26 CEST 2003
Alle 00:40, martedì 15 luglio 2003, Andrea Dinale ha scritto:
> Devo controllare nei backup, se ho una versione del file di log
> immediatamente posteriore al portscan, nella speranza di cavarne
> qualche info utile!
avete presente la legge di murphy? per una serie di coincidenze
improbabili, non ho ricavato alcuna informazione utile dai backup!
Quindi posso solo formulare alcune ipotesi.
1) il file di log è stato nodificato da chi ha compiuto lo scan.
perchè: per cancellare le tracce di cio che ha fatto.
come: non con un login diretto da console (da last risultano solo login
remoti), dovrebbe aver effettuato il log dal mio pc, e la cosa non
è da escludere, ci sono alcuni moneti della giornata dove il mio
computer resta incustodito.
A meno che non siano state cancellate le tracce anche da last.
E' poco probabile che sia stato fatto uno shell exploit, dato che il
sistema è sempre aggiornato.
probab.: Medio - alta
2) il file è stato modificato accidentalmente da me, menre interrogavo i
file di log.
probab.: Bassa, perchè le ananisi sono state compiute QUASI tutte in una
copia del file di log, non nell'originale. Nel file .bash_history di
root non trovo comandi tipo "vim /var/log/messages" e gli unici editor
che uso sono solo vim o mcedit. Con il primo potrebbe anche scappare
un copia incolla, ma con il secondo è molto più diffcicile.
In più la stringa che è stata aggiunta con l'ipotetico copia-incolla
è stata succesivamente modificata (61474 --> 1487)
Ora non mi viene in mente altro, se avete altre ipotesi ben venga!
Andrea
More information about the pluto-security
mailing list