# [OT] ahhhh mi bucano il pc+presa per il culo :P

## silverfix

salve,

oltre a bucarmi la box (server 12/24) credo almeno, mi prendono pure per il culo  :Embarassed: 

```

Checking `wted'... 10 deletion(s) between Thu Mar 11 17:08:18 2004 and Wed Oct 24 04:39:22 2035

3 deletion(s) between Thu Mar 18 23:19:22 2004 and Fri Mar 19 15:33:43 2004

2 deletion(s) between Mon Mar 22 11:19:54 2004 and Tue Dec 21 10:18:40 2027

1 deletion(s) between Tue Apr  6 15:53:13 2004 and Tue Apr  6 16:18:23 2004

1 deletion(s) between Wed Apr 21 16:11:59 2004 and Wed Apr 21 21:36:28 2004

8 deletion(s) between Tue Aug 10 01:23:07 2004 and Fri Apr  4 20:45:29 1997

1 deletion(s) between Sun Jan  4 01:59:04 1970 and Mon Mar  9 05:29:59 1987

1 deletion(s) between Sun Jan  4 01:57:28 1970 and Wed Oct 26 10:58:54 2005

1 deletion(s) between Mon Sep 13 01:19:58 2004 and Mon Sep 13 13:52:47 2004

6 deletion(s) between Thu Nov 11 12:01:31 2004 and Fri Sep  8 00:28:53 1933

```

notare le date  :Rolling Eyes: 

idee? interpreto male chkrootkit ?

fucilatemi, sono 6 mesi che non c'ho metalog fra i runlevels.. non chiedetemi logs  :Embarassed: 

----------

## Atomikramp

carica un bell'IDS coi contro******ni di quelli belli che controllano anche i checksum sui file... e vedrai che se ti impegni un po' a quei bimbiminchia gli seghi le gambe....

se ti hanno bucato, non fare affidamento su comandi tipo ps e top per vedere i processi.... perchè molto probabilmente se hanno fatto un lavoro fatto bene han trojanato i binari di sistema...

i log in locale se la macchina è kittata servono a poco... eventualmente sarebbe utile crearne delle copie su un'altra macchina ( possibilmente su un canale secure logging, via VPN o su un'altra interfaccia di rete fisica....

controlla inoltre se la scheda sta lavorando in modalità promisqua... rischi che t'han caricato su uno sniffer....

sono paranoico... non so interpretare bene quanto hai scritto.... ma fidandomi di quanto hai detto... se ti hanno veramente bucato... queste sono le precauzioni che io prenderei in considerazione.....

----------

## lan

prima cosa stacca quella macchina da internet, fai un portscan su tutte le porte, vedi  se ci stanno bindshell o latre porcate varie 

salva tutti i dati e poi  in OGNI caso pialla quella macchina senza timore e rimetti la gentoo 

una curiosità da dove sono entrati? PHPbb? awstats? apache mod_ssl ? o da dove?

Ciao

----------

## gutter

Fai come ha detto lan, stacca la macchina salva i dati e pialla tutto. 

Che servizi avevi caricati?

Sarebbe interessante vedere come sono entrati.

----------

## .:deadhead:.

La cosa principale ora è ripristinare il server con i servizi che offriva. Però fallo con intelligenza:

- salva i dati importanti

- fatti un' immagine del disco, uno stage4 insomma hai un'occasione d'oro per scoprire dove avevi toppato nel setup del precedente server, non sprecarla

-  :Shocked:   :Shocked:  niente log? ... comincia...

- rimetti in piedi il server, ma solo dopo avel letto questo doc

----------

## neryo

 *gutter wrote:*   

> 
> 
> Che servizi avevi caricati?
> 
> Sarebbe interessante vedere come sono entrati.

 

quoto

----------

## silverfix

di servizi aperti ho solo cups e mldonkey...

la eth non lavora in modalità promiscua, ho installato metalog e oggi vedo d'improvvisare un firewall (non ci sono dati critici, è solo il mio pc di casa che scarica qualche file su p2p) o magari aspetto qualche gg che mi arrivi il router...

qualcuno parlava di IDS, che cos'è ?

----------

## Cazzantonio

cups ascoltava sulla rete? niente sshd aperto? considera per il futuro di far girare mldonkey sotto chroot....

per gli IDS (intrusion detection system) prova a cercare questo: app-forensics/aide

----------

## silverfix

nessun sshd aperto e solo ora mi accorgo che la 631 ascoltava sulla rete (provvedo) 

mi spieghi il fatto di mldonkey "in gabbia" ?

in che consiste aide?

grazie a tutti raga  :Wink: 

----------

## Tiro

anche io mi stò sbattendo per chrootare mldonkey...ho trovato nel forum questi articoli intanto:

http://mldonkey.berlios.de/modules.php?name=Wiki&pagename=Chroot

http://www.argo.es/~jcea/artic/chroot.htm

----------

## silverfix

ho fatto fare un nmap sulla mia macchina da manu... che diamine sono quei servizi filtered  :Evil or Very Mad: 

```

PORT     STATE    SERVICE

135/tcp  filtered msrpc

139/tcp  filtered netbios-ssn

445/tcp  filtered microsoft-ds

593/tcp  filtered http-rpc-epmap

4000/tcp open     remoteanything

4444/tcp filtered krb524

6346/tcp open     gnutella

```

----------

## SilverXXX

 *.:deadhead:. wrote:*   

> 
> 
> -   niente log? ... comincia...
> 
> 

 

Esagerato!  (magari pero gli fa bene, così impara per la prossima volta  :Laughing:  )

Cmq consiglio la guida gentoo sulla sicurezza, letta (non applicata per mancanza di voglia al mio serverino) e l'ho trovata ottima. 

ps Io li tengo il log  :Twisted Evil: 

----------

## silverfix

bene ora ho chiuso tutte le porte (almeno nmap mi dice così, oltre quelle filtered che sono visibili solo portscannando dall'esterno, bsolar mi diceva che forse sono gateway del mio ISP).

da dove cacchio potrebbe entrare ora?

mi vado a leggere quella guida, thx

----------

## neryo

 *Cazzantonio wrote:*   

> 
> 
> per gli IDS (intrusion detection system) prova a cercare questo: app-forensics/aide

 

Fico mi sa che lo faccio girare sul mio serverino casalingo!  :Laughing: 

----------

## GhePeU

ma sei sicuro che ti abbiano bucato sul serio? a me chkrootkit ha cominciato a rilevare due cancellazioni del genere dopo un crash

----------

## Cazzantonio

 *silverfix wrote:*   

> mi spieghi il fatto di mldonkey "in gabbia" ?

 

io ho usato questo:

https://forums.gentoo.org/viewtopic-t-185310-highlight-mldonkey+chroot.html

----------

## silverfix

 *GhePeU wrote:*   

> ma sei sicuro che ti abbiano bucato sul serio? a me chkrootkit ha cominciato a rilevare due cancellazioni del genere dopo un crash

 

no infatti non sono assolutamente sicuro, ma sono le date che mi puzzano! non può essere un errore di chkrootkit

----------

## alkaid

1933   :Very Happy: 

----------

## bld

 *silverfix wrote:*   

> bene ora ho chiuso tutte le porte (almeno nmap mi dice così, oltre quelle filtered che sono visibili solo portscannando dall'esterno, bsolar mi diceva che forse sono gateway del mio ISP).
> 
> da dove cacchio potrebbe entrare ora?
> 
> mi vado a leggere quella guida, thx

 

Inanzi tutto cups ascolta sulla porta 631, ma da default ascolta solo sulla 127.0.0.1 (localhost). Se non hai nessun'altra porta aperta eccetto mldonkey mi sempra strano che siano entrati sul tuo computer `via mldonk`, ma e' sempre acceso il tuo computer di casa?

Da quello che ho capito la tua conessione e' adsl, un modem/router che fa da gateway per il tuo computer. Dipende dal modello il mio no aveva porte aperte da default. La maggior parte dei modem/router sono molto facili da crack-are con un bruteforce se telnetd/interfacia-di-gestione-web e' apperta sulla rete con programmi come questo tanto per citarne uno..

Se non usi la modalita bridge e non hai aperto tu le porte al router, non credo che il tuo router le apra da solo, magari avra qualcuna apperta da default ma non tutte, allora nmap ha scannato il router e non il host.

Da quel che hai scritto direi che probabilmente hai scaricato ed eseguito qualche programino da internet che non dovevi!! 

Un altra ipotesi sarebbe un client side vulnerability per programmi come irc-clients e/o browsers, ma anche in questo caso mi sempra che si sia aperto un tunnel ad una high port tra il tuo computer ed un host esterno.. per bypassare il router, cioe' in teoria il router dovrebbe lasciar passare dal esterno al interno solamente quello che tu gli hai detto, sempre che ce ne sia uno.. e sempre che non hai settato un bridge.

Usa qualcuno altro il computer eccete te?  :Wink: 

Facci sapere se trovi qualcos'altro.

[edit] non e' che per caso usi fastweb come isp, e fai parte della M.A.N. di fastweb?? ip del tipo 10.133.x.x

----------

## AlterX

 *silverfix wrote:*   

> ho fatto fare un nmap sulla mia macchina da manu... che diamine sono quei servizi filtered 
> 
> ```
> 
> PORT     STATE    SERVICE
> ...

 

le porte 135/139 e 445 indicano che hai una macchina con windows sopra (quella interna forse)

quella strana, secondo me che ha permesso l'ingresso, visto che non è filtrata, è la 4000!!

Anche la 4444, se puoi toglila

Tutte considerazioni ovviamente personali:lol:

----------

## rota

per il futuro ..installati anche Tripwire.... :Wink: 

----------

