# Gentoo hackerata???!!!!

## kattivo

Salve...

mi trovo davanti a una gentoo....secondo me hackerata....

me ne sono accorto perchè se digito last:

```

localhost / # last

last: /var/log/wtmp: No such file or directory

Perhaps this file was removed by the operator to prevent logging last info.

localhost / #

```

lanciando un chrootkit:

```

Checking `asp'... not infected

Checking `bindshell'... not infected

Checking `lkm'... You have     8 process hidden for readdir command

You have     8 process hidden for ps command

chkproc: Warning: Possible LKM Trojan installed

Checking `rexedcs'... not found

Checking `sniffer'... /proc/30355/fd: No such file or directory

/proc/30356/fd: No such file or directory

/proc/30357/fd: No such file or directory

/proc/30358/fd: No such file or directory

/proc/30359/fd: No such file or directory

/proc/30360/fd: No such file or directory

/proc/30361/fd: No such file or directory

/proc/30362/fd: No such file or directory

eth0: not promisc and no PF_PACKET sockets

Checking `w55808'... not infected

Checking `wted'... unable to open wtmp-file wtmp

Checking `scalper'... not infected

Checking `slapper'... not infected

Checking `z2'... not tested: not found wtmp and/or lastlog file

Checking `chkutmp'... chkutmp: nothing deleted

```

sapete cosa posso fare per scoprire qlk...? i syslog sono stati cancellati...  :Crying or Very sad:   :Crying or Very sad:   :Crying or Very sad:   :Crying or Very sad: 

----------

## neryo

 *kattivo wrote:*   

> 
> 
> sapete cosa posso fare per scoprire qlk...? i syslog sono stati cancellati...    

 

penso che ormai sia troppo tardi..   :Rolling Eyes: 

ti conviene salvarti il salvabile e fare una bella formattata!

----------

## skakz

io reinstallerei ps/netstat/ls/find ... che possono essere stati compromessi.. poi vedi se ci sono processi,porte aperte o file a te estranei.. nel frattempo limita al minimo la connessione ad internet,chiudi tutti i servizi tipo sshd ftpd httpd.. e riavvia syslog e crea i file che sono stati cancellati..

----------

## kattivo

Sono riuscito a recuperare qlk log....

```

Feb 25 02:00:02 localhost postfix/postdrop[5175]: warning: unable to look up public/pickup: No such file or directory

Feb 25 03:12:26 localhost sshd[11735]: Invalid user ursula from 200.155.160.15

Feb 25 03:13:24 localhost sshd[12245]: Invalid user summer from 200.155.160.15

Feb 25 03:21:46 localhost sshd[16652]: Invalid user suhaila from 200.155.160.15

Feb 25 03:21:48 localhost sshd[16670]: Invalid user suraiya from 200.155.160.15

Feb 25 03:21:50 localhost sshd[16691]: Invalid user tabassum from 200.155.160.15

Feb 25 04:39:36 localhost postfix/postdrop[11156]: warning: unable to look up public/pickup: No such file or directory

Feb 25 08:01:23 localhost pure-ftpd: (ftp@p54BBC7D6.dip0.t-ipconnect.de) [INFO] Can't change directory to /pub/: No such file or directory

Feb 25 08:01:23 localhost pure-ftpd: (ftp@p54BBC7D6.dip0.t-ipconnect.de) [INFO] Can't change directory to /public/: No such file or directory

Feb 25 08:01:23 localhost pure-ftpd: (ftp@p54BBC7D6.dip0.t-ipconnect.de) [INFO] Can't change directory to /pub/incoming/: No such file or directory

Feb 25 08:01:23 localhost pure-ftpd: (ftp@p54BBC7D6.dip0.t-ipconnect.de) [INFO] Can't change directory to /incoming/: No such file or directory

Feb 25 08:01:24 localhost pure-ftpd: (ftp@p54BBC7D6.dip0.t-ipconnect.de) [INFO] Can't change directory to /_vti_pvt/: No such file or directory

Feb 25 08:01:24 localhost pure-ftpd: (ftp@p54BBC7D6.dip0.t-ipconnect.de) [INFO] Can't change directory to /upload/: No such file or directory

Feb 25 09:25:46 localhost sshd[2440]: Invalid user sun0s from 61.32.226.70

Feb 25 09:31:34 localhost sshd[5413]: Invalid user absurdir_deadphp from 61.32.226.70

Feb 25 09:39:41 localhost sshd[9601]: Invalid user superman from 61.32.226.70

Feb 25 09:42:55 localhost sshd[11266]: Invalid user jesus from 61.32.226.70

Feb 25 09:42:58 localhost sshd[11292]: Invalid user jesus from 61.32.226.70

Feb 25 09:51:40 localhost sshd[15750]: Invalid user suva from 61.32.226.70

Feb 25 09:51:49 localhost sshd[15828]: Invalid user susan from 61.32.226.70

Feb 25 09:51:52 localhost sshd[15854]: Invalid user sunsun from 61.32.226.70

Feb 25 09:51:55 localhost sshd[15876]: Invalid user sunny from 61.32.226.70

Feb 25 10:13:11 localhost sshd[26814]: Invalid user suva from 61.32.226.70

Feb 25 10:13:20 localhost sshd[26884]: Invalid user susan from 61.32.226.70

Feb 25 10:13:23 localhost sshd[26910]: Invalid user sunsun from 61.32.226.70

Feb 25 10:13:29 localhost sshd[26962]: Invalid user sunny from 61.32.226.70

Feb 25 11:59:46 localhost sshd[12572]: lastlog_filetype: Couldn't stat /var/log/lastlog: No such file or directory

Feb 25 11:59:46 localhost sshd[12572]: lastlog_filetype: Couldn't stat /var/log/lastlog: No such file or directory

Feb 25 12:00:16 localhost su(pam_unix)[12863]: session opened for user root by (uid=1000)

Feb 25 12:47:02 localhost su(pam_unix)[12863]: session closed for user root

Feb 25 12:47:32 localhost sshd[7905]: lastlog_filetype: Couldn't stat /var/log/lastlog: No such file or directory

Feb 25 12:47:32 localhost sshd[7905]: lastlog_filetype: Couldn't stat /var/log/lastlog: No such file or directory

Feb 25 12:47:41 localhost su(pam_unix)[8011]: session opened for user root by (uid=1000)

```

Ho riemerso syslog-ng...pero' non parte..! e non riesco a vedere xche non parte xche non ho i log!  :Sad: 

c'e qlk sistema per vedere quei 8 processi che sono nascosti? almeno per poterli killare.....

----------

## lavish

formatta tutto, è un suicidio andare avanti con un sistema hackerato... magari fatti uno stage4 in modo da capire come sei stato bucato, ma pialla il sistema

----------

## skakz

perchè darla vinta a chi è entrato?????

reinstalla ps e vedi quali sono i processi nascosti!! reinstalla netstat e vedi le porte aperte non da te e quali programmi le hanno aperte!! ti basta un ip per far partire la denuncia   :Wink: 

----------

## kattivo

Azz...io mi domando come hanno fatto..! cioè io la tenevo aggiornata giornalmente..! è possibile sia stata hackerata attraverso il Verlihub? (hub per dc++) ? per la mia prossima installazione...che kernel mi consigliati di metterli? (l'importanza è che sia sicuro! visto che il gentoo-source non è bastato! )

----------

## kattivo

ps e netstat fanno parte di quale pacchetto? anche io non la voglio dar vinta a chi ora è dentro!!!

----------

## lavish

 *kattivo wrote:*   

> per la mia prossima installazione...che kernel mi consigliati di metterli? (l'importanza è che sia sicuro! visto che il gentoo-source non è bastato! )

 

non c'entra il kernel, ma la configurazione del tuo sistema..

----------

## kattivo

 *lavish wrote:*   

>  *kattivo wrote:*   per la mia prossima installazione...che kernel mi consigliati di metterli? (l'importanza è che sia sicuro! visto che il gentoo-source non è bastato! ) 
> 
> non c'entra il kernel, ma la configurazione del tuo sistema..

 

C'e qlk how to, per renderlo sicuro al massimo? magari qlk che ti spieghi bene cosa modificare...e perchè..e quali sono gl'attacchi che evita..?

----------

## Ferdinando

 *kattivo wrote:*   

> 
> 
> ```
> Feb 25 09:25:46 localhost sshd[2440]: Invalid user sun0s from 61.32.226.70
> 
> ...

 

A me non sembra un problema di kernel, quanto più di amministrazione: hanno cercato di bucarti utente/password di ssh (poi è da vedere se siano entrati da lì, visto che non hai log di accesso valido), quindi puoi attivare tutti gli strumenti di sicurezza che vuoi, ma se hai nomi utenti banali e password come "pippo", "fufi" o "selen" ti bucheranno comunque. Eventualmente considera altri modi di operazione di ssh (c'è parecchia documentazione in giro, l'accesso nomeutente+password ormai è sconsigliato).

Ciao

P.S. denunciare l'IP mi sembra inutile, probabilmente era un'altra macchina compromessa, chissà quanti attacchi avranno già lanciato dalla tua...

----------

## kattivo

Gia...pero' vorrei sapere chi è dentro..e cosa ha fatto..nella macchina ci sono dati di clienti..siti ecc...non è che si puo' formatare cosi...!

----------

## Ferdinando

 *kattivo wrote:*   

> Gia...pero' vorrei sapere chi è dentro..e cosa ha fatto..nella macchina ci sono dati di clienti..siti ecc...non è che si puo' formatare cosi...!

 

Segui il consiglio di lavish: backup completo, in modo da preservare il sistema e poter fare un'analisi a posteriori, annuncia il downtime, prenditi un paio di giorni per reinstallare tutto da capo e limitando fortemente ssh, passa i soli dati della cui correttezza sei sicuro e per gli altri chiedi conferma a chi di dovere: se ti hanno svaligiato la casa lasciare la porta aperta peggiora la situazione, non ti pare? Poi lavorando sul backup cercherai di capire cos'hanno combinato.

Ciao

P.S. Se puoi, sostituisci proprio i dischi rigidi

----------

## skakz

reinstalla procps coreutils net-tools findutils slocate pam-login !!! (se li hai installati si intende..)

se puoi stacca la connessione ad internet di questa box!

e soprattutto sposta da qualche parte sicura tutti i dati sensibili!

----------

## kattivo

Mmm xche sostituire proprio i dischi rigidi? sono degli scsi...mi crea gia problemi.....anche perchè sono sotto controller...dovrei rifarmi l'arrey...

----------

## Luca89

Io sono daccordo con lavish e Ferdinando, in bel backup e magari chiederei ai clienti di controllare l'integrità dei loro dati, dopodichè reinstallare curando di più la sicurezza del sistema.

----------

## Ferdinando

 *kattivo wrote:*   

> Mmm xche sostituire proprio i dischi rigidi? sono degli scsi...mi crea gia problemi.....anche perchè sono sotto controller...dovrei rifarmi l'arrey...

 

Non intendevo per sempre, ma è più semplice cambiare disco che farsi il backup e poi formattare; vista la situazione però forse è meglio la seconda.

Ciao

----------

## kattivo

Ovvio che cosi la macchina non potra' andare avanti...pero' era stato programmato che la prossima settimana facevamo cambio di server...questo server bastava durasse altri 3 4 giorni...!

----------

## ProT-0-TypE

ma l'unica cosa che facevi per renderla sicura era aggiornarla?

----------

## kattivo

```

root     22556  0.0  0.0      0     0 ?        Z    13:47   0:00 [supervise] <defunct>

root     22557  0.0  0.0      0     0 ?        Z    13:47   0:00 [supervise] <defunct>

root     22558  0.0  0.0      0     0 ?        Z    13:47   0:00 [supervise] <defunct>

root     22559  0.0  0.0      0     0 ?        Z    13:47   0:00 [supervise] <defunct>

root     22560  0.0  0.0      0     0 ?        Z    13:47   0:00 [supervise] <defunct>

root     22561  0.0  0.0      0     0 ?        Z    13:47   0:00 [supervise] <defunct>

root     22562  0.0  0.0      0     0 ?        Z    13:47   0:00 [supervise] <defunct>

root     22563  0.0  0.0      0     0 ?        Z    13:47   0:00 [supervise] <defunct>

```

questi mi sembrano stranini..!

----------

## Ferdinando

 *kattivo wrote:*   

> questi mi sembrano stranini..!

 

non più di tanto:

 *Quote:*   

> supervise may exit immediately after startup if it cannot find the files it needs in s

 

da qui; in fondo a te mancano tanti files di amministrazione, avranno cancellato anche quelli.

Ciao

P.S. la cosa è diversa se supervise non doveva proprio essere installato...

----------

## kattivo

No....di solito in base...limitavo i comandi agl'utenti, grsec, limitavo l'ssh per il login diretto root, acid snort, ecc ...pensavo che bastasse...invece no..!

fede....:

In effetti io non l'ho proprio mai messo!!!

----------

## lavish

 *kattivo wrote:*   

> C'e qlk how to, per renderlo sicuro al massimo? magari qlk che ti spieghi bene cosa modificare...e perchè..e quali sono gl'attacchi che evita..?

 

http://www.gentoo.org/security/en/index.xml

----------

## Ferdinando

 *lavish wrote:*   

> http://www.gentoo.org/security/en/index.xml

 

Vista la sua situazione segnalerei soprattutto il punto 10.k di questo manuale ufficiale (sempre in inglese).

Ciao

----------

## .:chrome:.

 *kattivo wrote:*   

> C'e qlk how to, per renderlo sicuro al massimo? magari qlk che ti spieghi bene cosa modificare...e perchè..e quali sono gl'attacchi che evita..?

 

tutti gli howto di questo mondo, a cominciare da quelli che ti hanno già suggerito, sono inutili se non sei in grado di comprendere quello che c'è scritto.

io farei fare il lavoro a qualcuno capace, e soprattutto seguirei il consiglio che ti hanno dato da subito: formatta e reinstalla tutto

----------

## ProT-0-TypE

sono d'accordo con k.gothmog.. in più cambierei la firma: Digital Snc...Tutta La Potenza che POTEVI Avere...

----------

## Ferdinando

 *ProT-0-TypE wrote:*   

> in più cambierei la firma: Digital Snc...Tutta La Potenza che POTEVI Avere...

 

ROTFL!   :Laughing:  Battuta un po' cinica, ma molto efficace  :Laughing:   :Laughing:   :Laughing: 

Ciao

----------

## Dece

 *kattivo wrote:*   

> No....di solito in base...limitavo i comandi agl'utenti, grsec, limitavo l'ssh per il login diretto root, acid snort, ecc 

 

Usavi GrSecurity?

----------

## .:chrome:.

 *kattivo wrote:*   

> No....di solito in base...limitavo i comandi agl'utenti, grsec, limitavo l'ssh per il login diretto root, acid snort, ecc 

 

com'è possibile che un sistema blindato con GRSecurity venga sfondato?

lo sai che non basta applicare la patch al kernel per avere la protezione? il kernel va anche configurato

e poi non capisco come uno possa usare GRSecurity senza sapere nemmeno come funzioni lo scheduling del kernel.

----------

## kattivo

eh eppure....cosi è successo.....son rimasto male anche io eh..

----------

## Dece

Più che altro, poichè grsecurity nasconde file e processi, non vorrei che chkrootkit si incasinasse e generasse un "falso positivo" poichè non riesce a fare alcuni test... potrei sbagliarmi ma l'errore che dava mi sembrava appunto di questo tipo

Hai eseguito altre volte chkrootik con successo e con il kernel che stai usando? oppure l'hai eseguito una volta e ti ha dato quel risultato?

----------

## .:chrome:.

 *kattivo wrote:*   

> eh eppure....cosi è successo.....son rimasto male anche io eh..

 

scusa un momento...

tu gestisci una macchina con GRSecurity e non sei nemmeno capace di cambiare la localizzazione? questo dice tutto

----------

## ProT-0-TypE

 *k.gothmog wrote:*   

>  *kattivo wrote:*   eh eppure....cosi è successo.....son rimasto male anche io eh.. 
> 
> scusa un momento...
> 
> tu gestisci una macchina con GRSecurity e non sei nemmeno capace di cambiare la localizzazione? questo dice tutto

 

sono nuovamente d'accordo con k.gothmog...

----------

## kattivo

l'Ho eseguito piu volte...ed è la prima volta che fa cosi...poi insomma..i log sono stati cancellati...syslog è stato cancellato e ora riemergendolo non parte nemmeno piu...quindi sono sicuro che qlk ha messo le manine...credo sia un lamer...visto che ha lasciato tracce cosi evidenti...

----------

## .:chrome:.

 *kattivo wrote:*   

> l'Ho eseguito piu volte...ed è la prima volta che fa cosi...poi insomma..i log sono stati cancellati...syslog è stato cancellato e ora riemergendolo non parte nemmeno piu...quindi sono sicuro che qlk ha messo le manine...credo sia un lamer...visto che ha lasciato tracce cosi evidenti...

 

perché non ti decidi a riformattare e reinstallare tutto? una macchina sfondata resta insicura e pericolosa

al di la di questo, sai cosa vogliono dire le parole hacker e lamer?

----------

## Ferdinando

 *k.gothmog wrote:*   

> sai cosa vogliono dire le parole hacker e lamer?

 

In effetti bisognerebbe chiarire cosa sono un lamer e un hacker, soprattutto perché l'uso italianizzato di "to hack" che si fa nel titolo potrebbe offendere chi si ritiene un hacker (e ce ne sono molti dietro alle comunità che hanno dato vita al nostro sistema operativo)... sarebbe stato forse più opportuno dire "compromessa", "bucata" o per insistere sugli anglismi "crackata"...

Ciao

----------

## yardbird

 *k.gothmog wrote:*   

> blah blah

 

Come affidare una mucca agonizzante a un cane rabbioso, eh?  :Rolling Eyes: 

----------

## Ferdinando

 *yardbird wrote:*   

> Come affidare una mucca agonizzante a un cane rabbioso, eh? 

 

Forse il tuo post stava meglio qui.

Ciao

----------

## yardbird

 *Ferdinando wrote:*   

> Forse il tuo post stava meglio qui.
> 
> Ciao

 

Grazie, hai ragione. Sono passato in velocità sul forum e mi è saltato all'occhio questo post, non sapevo ci fosse già una discussione in atto. Chiedo venia.

----------

## Frez

La distinzione hacker/cracker e' doverosa.

Concordo con la "linea lavish": e' bene capire com'e' che sono entrati perche' potrebbe fare lo stesso errore e trovarsi di nuovo il server bucato entro un paio di giorni.

Anche informandosi e migliorando la sicurezza, non avrebbe la certezza di aver eliminato quella particolare vulnerabilita' che ha permesso a cracker di entrare.

Io prenderei seriamente in considerazione l'idea di prendere nuovi HD. Tanto poi rimangono come scorta. E diminuiscono anche le ansie riguardo il backup dei dati degli utenti.

Prendilo come un "investimento" sulla sicurezza  :Smile: 

Un'ultima cosa. Forse kattivo non e' nuovo ad atteggiamenti ... come dire ... "ostinatamente superficiali" e oltretutto io mal sopporto i "xche" , "qlk", "cmq" ecc

tuttavia credo che la risposta dovrebbe limitarsi al consiglio di documentarsi meglio (buona cosa indicare anche "dove") e basta.

Deriderlo perche' non capisce nemmeno come funzioni lo scheduling del kernel mi sembra poco costruttivo e poco piacevole da leggere.

----------

## Raffo

[OT]@k.gothmog: visto che di linux so poco e ho giusto le conoscenze di uno smanettone per uso desktop, mi linkeresti qualche link che tu ritieni veramente cazzuto (passatemi il termine ^^) sullo scheduling del kernel?? mi voglio fare un po' di cultura senza inciampare nella troppa disinformazione di internet, per questo chiedo aiuto a te  :Very Happy:  Grazie [/OT]

----------

## kattivo

In effeti qui...appena qualcuno non sa...si prende un casino di parole...mica tutti sanno tutto...(almeno secondo me..). almeno se fosse cosi...non ci sarebbe neanche bisogno dei forum...

Ognuno sarebbe capace di arangiarsi...ma dubito che sia cosi!

Riguardo i dischi... ok...ma il punto è che se rinstallo la macchina...come mi hanno bucato questa adesso..me la possono bucare anche dopo..! mi piacerebbe leggermi qualcosa di approfondito che spieghi i vari bug dei soft di gentoo. Rinstallando gentoo come avevo fatto...rischio di nuovo di essere bucato! (anche se ero convinto che non fosse bucabile..mi era sembrato di averla pacthata bene! era up da 160 giorni..)

----------

## Kernel78

Scusa kattivo ma non sono sicuro di aver capito bene ...

Hai un server con grsecurity su cui consenti l'accesso ssh con utente e password, tieni i dati dei clienti e dc++ e non tieni i backup ?

Se ho capito bene prima ancora di riformattare ti consiglierei di spengere il server, prenderti un po' di tempo e documentazione e dedicarti allo studio di policy di sicurezza migliori delle attuali.

----------

## gutter

 *Raffo wrote:*   

> [OT]@k.gothmog: visto che di linux so poco e ho giusto le conoscenze di uno smanettone per uso desktop, mi linkeresti qualche link che tu ritieni veramente cazzuto (passatemi il termine ^^) sullo scheduling del kernel?? mi voglio fare un po' di cultura senza inciampare nella troppa disinformazione di internet, per questo chiedo aiuto a te  Grazie [/OT]

 

Per queste cose ci sono i PM.

 *k.gothmog wrote:*   

> 
> 
> tutti gli howto di questo mondo, a cominciare da quelli che ti hanno già suggerito, sono inutili se non sei in 

 

Come detto decine di volte c'è modo e modo di dire le cose.   :Rolling Eyes: 

EDIT: Spostato dal forum italiano al forum di discussione italiano.

----------

## .:chrome:.

 *gutter wrote:*   

> Come detto decine di volte c'è modo e modo di dire le cose

 

eddai... non era niente di eccezionale.

purtroppo altro non è che la triste verità: ci sono molte persone che vogliono fare l'"hacker", ma senza le basi non si va da nessuna parte. gli howto possono essere utili per ricordare quali passaggi si devono fare e in quale ordine, ma non possono insegnare.

o almeno... così la penso io

----------

## Dr.Dran

 *k.gothmog wrote:*   

> ...gli howto possono essere utili per ricordare quali passaggi si devono fare e in quale ordine, ma non possono insegnare. o almeno... così la penso io

 

Beh dipende sempre quale approccio intendi avere... io per esempio ho imparato una cosa fondamentale: gli howto servono anche come spunto x ricerche e approfondimenti. Quindi forse direttamente non insegnano nulla... ma ovviamente sta all'intelligenza della persona saper approfondire...

Ciauz   :Very Happy: 

----------

## Manuelixm

[OT]Ciao a tutti, aggiungo una cosa, quando si parla di sicurezza le conoscenze non sono mai abbastanza e sottolineo mai, in questo caso non posso fare a meno che appoggiare k.gothmog al 100%, semplicemente per il fatto che di documentazione in giro ce nè parecchia. Esistono gli howto, esiste la documentazione ufficiale per ogni singolo progetto, esistono i forums, o meglio, i motori di ricerca nei forums (cosa che fa fatica ad entrare nella mente di ALCUNI utenti), esistono gli appunti di informatica libera e se non basta ancora ci sono libri che parlano di sicurezza.

Io sono totalmente neofita, ma nel mio piccolo cerco di documentarmi, google è mio amico. Quando si riceve una critica, secondo me, questa anche se dura deve essere presa in modo costruttivo, non l'opposto. Ultima cosa, odio che la gente dica: "a questa applicazione fa schifo, ah questa distro e ultra buggata... ecc..." se dopo il bug principale parte dall'utente. Sento il bisogno di una sezione veramente specifica.[/OT]

Spero di non essere stato offensivo e ribadisco il tutto deve essere preso nel migliore dei modi.

----------

## demone

Anche io uso grsec e posso dirti che con rkhunter di falsi positivi non ne ho riscontrato,se come dici te la macchina era up da 160 giorni, ci sono stati bug a livello di kernel ed in più critical update da parte di grsecurty,quindi la tua macchina sarà stata aggiornata a livello di software ma non di kernel.Per me è discutibile l'assenza di backup l'utilizzo di login per l'accesso ad ssh e la presenza di un p2p.

----------

## Ferdinando

 *Manuelixm wrote:*   

> quando si parla di sicurezza le conoscenze non sono mai abbastanza e sottolineo mai

 

Io aggiungerei che se la situazione è quella che è emersa in questo topic, cioè nell'azienda in questione è stata bucata una macchina in cui c'erano dati importanti dei clienti e questi sono stati compromessi, la cosa è grave perché se io fossi il cliente denuncerei l'azienda e avrei il 99,99999999999999999% (periodico) di probabilità di vincere (cioè a meno che l'azienda in questione non abbia un utile pari al PIL di un paese industrializzato) in quanto una volta partita la denuncia tocca al denunciato dimostrare di aver attuato tutte le politiche di protezione in suo potere per tutelare i dati che gli erano stati affidati (seminario di diritto informatico di un paio di mesi fa) e da quanto ho letto non mi sembra che sia stato così.

La sicurezza non è un problema di pubblicità o di investimenti: è un problema penale.

Per fortuna/purtroppo sia le aziende che i clienti raramente si rendono conto di tutto questo e quindi le denunce sono poche; ma quanto durerà?

I miei due centesimi di ecu.

Ciao

----------

## Manuelixm

 *Quote:*   

> a cosa è grave perché se io fossi il cliente denuncerei l'azienda e avrei il 99,99999999999999999% (periodico) di probabilità di vincere (cioè a meno che l'azienda in questione non abbia un utile pari al PIL di un paese industrializzato) in quanto una volta partita la denuncia tocca al denunciato dimostrare di aver attuato tutte le politiche di protezione in suo potere per tutelare i dati che gli erano stati affidati (seminario di diritto informatico di un paio di mesi fa) e da quanto ho letto non mi sembra che sia stato così. 
> 
> La sicurezza non è un problema di pubblicità o di investimenti: è un problema penale. 
> 
> Per fortuna/purtroppo sia le aziende che i clienti raramente si rendono conto di tutto questo e quindi le denunce sono poche; ma quanto durerà?

 

Concordo pienamente e aggiungo che se io fossi uno dei clienti, agirei sicuramente di conseguenza.

----------

## Kernel78

Dubito che i clienti siano stati informati  :Wink: 

Se lo fossero stati penso che già la sola presenza di un sw p2p basterebbe a fargli vincere la causa e se non bastasse quella la mancanza di backup darebbe il colpo definitivo.

----------

## kattivo

certo che vuoi ..i problemi poi ve li inventati...! ho fatto analizzare a un mio amico il server ! ha detto che il grsec era impostato da dio...! era tutto apposto! il teppista era solamente bravo...ed è entrato..! non datemi dell'incompetente...! i backup dei siti è l'unica cosa che importa...! e quelli ci sono sempre...! sono sincronizzati a secondo su un'altro server...e backupatti su dds3 scsi a nastro giornalmente...e dispongo i backup per 2 settimane....giorno per giorno!

----------

## Ferdinando

 *kattivo wrote:*   

> era tutto apposto! il teppista era solamente bravo...ed è entrato..! non datemi dell'incompetente...! i backup dei siti è l'unica cosa che importa...! e quelli ci sono sempre...!

 

Il fatto che tu abbia i backup, credimi, ci tranquillizza un po' tutti: allora pialla quella macchina se non l'hai già fatto perché più sta su e più rischi che vengano prelevati dati sensibili dei clienti o che da essa partano attacchi verso altre macchine: e questo problema non me lo sto inventando io.

Quanto al fatto che il teppista fosse bravo (ma non era un lamer?!), prima devi dimostrare che fosse un teppista e non uno che volesse prelevare dati dei tuoi clienti per rivenderli alla concorrenza, poi senti, tu puoi mettere anche le sbarre alle finestre, ma finché ci sarà una porta qualcuno potrà entrare (parlo di ssh) quindi come ti ho già consigliato considera metodi alternativi al login+password perché i log che hai recuperato puntavano il dito su di lui, e leggi le guide che abbiamo postato (che tra l'altro ti spiegano come configurare ssh per non usare più il login+password).

Credimi, non voglio offenderti, è per il tuo bene: come ho già spiegato è l'azienda che rischia, e se tu eri il responsabile della macchina con chi credi che se la prenderebbe l'azienda?

Ciao

----------

## demone

Per curiosità quale vulnerabilità avrebbe sfruttato?Il tuo amico è riuscito a determinarla?Mi piacerebbe sapere per pura conoscenza personale come avevi configurato grsec!

----------

## Kernel78

Scusa kattivo ma sei stato tu a dire che la macchina era up da 160 giorni e io mi chiedo come puoi aver patchato il kernel in questo periodo... o meglio, come puoi aver attivato le patch per il kernel senza riavviare la macchina.

----------

## kattivo

semplicemente l'ho installata 160 g fa..! non posso permettermi di riavviarla..! è una macchina che deve avere il suo up! km ho blindato tutto...! ho kiuso ssh e tutto ...c'e solo la p 80 aperta..! spero che da li..nn facciano niente! potete darmi una garanzia su questo? il resto è  bloccato tutto da un router della cisco serie 1700! quindi non penso che possano bucarmi anche il router, e riaprirsi le loro porte..! Come han fatto a bucare non lo so! i log pultroppo sono stati cancellati e modificati..!

----------

## Ferdinando

 *kattivo wrote:*   

> ...c'e solo la p 80 aperta..! spero che da li..nn facciano niente! potete darmi una garanzia su questo?

 

```
glsa-check -l
```

Se vedi tutto verde, puoi stare tranquillo.

EDIT: è vero, essendo già stato bucato neanche questa è una garanzia: ho detto una stupidagine, scusate.

Ciao

----------

## Manuelixm

Credo che la certezza che nessuno ti buchi ancora non te la possa dare nessuno, ti si può solo dire che hai meno possibilità di essere bucato (che termini  :Razz: ).

----------

## .:chrome:.

 *kattivo wrote:*   

> ho fatto analizzare a un mio amico il server ! ha detto che il grsec era impostato da dio...! era tutto apposto! il teppista era solamente bravo...ed è entrato..! non datemi dell'incompetente...! i backup dei siti è l'unica cosa che importa...! e quelli ci sono sempre...! sono sincronizzati a secondo su un'altro server...e backupatti su dds3 scsi a nastro giornalmente...e dispongo i backup per 2 settimane....giorno per giorno!

 

se sei così competente perché non l'hai controllato da solo il server? perché hai avuto bisogno di rivolgerti ad un esterno?

se fossi così competente come dici sapresti che il BoF non è l'unico modo per entrare in una macchina remota, ma sapresti anche che se veramente GRSecurity fosse impostato "da dio" ed in modo completo, diventa molto difficile sfondare una macchina.

quello che voglio dire è: ammesso e non concesso che la configurazione del kernel (e di GRSecurity) fosse buona, implementare bene una sola delle mille funzioni che quell'aggeggio ha non ti protegge molto, né ti permette di dire di avere configurato bene il kernel, magari solo una sua parte.

hai avuto la dimostrazione sulla tua pelle che la sicurezza:

- è un concetto relativo

- non è un campo nel quale si può giocare a cuor leggero

hai voluto giocare a fare l'"hacker" senza averne le cmpetenze. ora accetta l'errore, e assumiti le tue responsabilità

ti chiedo una cosa: hai piallato la macchina, come tutti ti stanno dicendo di fare da quando hai aperto questo thread? da quello che scrivi sembrerebbe di no:

 *kattivo wrote:*   

> ho kiuso ssh e tutto ...c'e solo la p 80 aperta..! spero che da li..nn facciano niente!

 

purtroppo per te dalla porta 80 è possibile ottenere shell remote. è possibile a questo punto fare un privilege-excalation, diventare root e fare tutto quello che si vuole. ti hanno installato un rootkit e non te ne sei nemmeno accorto. a questo punto chi ti dice che l'unica porta aperta sia effettivamente la 80?

se anche così non fosse, è possibile, dalla porta 80, e dalla shell non privilegiata che restituisce apache, invocare altri programmi, ad esempio qualcosa che copia sulla macchina bersaglio un ulteriore server, che magari si sostituisce ad apache stesso sulla porta 80.

si potrebbero anche aprire delle banalissime connessioni. scommetto quello che vuoi che non viene effettuato controllo alcuno sulle connessioni in uscita; a questo punto basta usare lynx per collegarsi ad una macchina preparata in precedenza per scaricare quello che ti pare, e volendo anche per eseguire codice remoto.

----------

## ProT-0-TypE

ma qualcosa tipo aide non ce l'avevi?

----------

## X-Drum

 *k.gothmog wrote:*   

>  *kattivo wrote:*   C'e qlk how to, per renderlo sicuro al massimo? magari qlk che ti spieghi bene cosa modificare...e perchè..e quali sono gl'attacchi che evita..? 
> 
> tutti gli howto di questo mondo, a cominciare da quelli che ti hanno già suggerito, sono inutili se non sei in grado di comprendere quello che c'è scritto.
> 
> io farei fare il lavoro a qualcuno capace, e soprattutto seguirei il consiglio che ti hanno dato da subito: formatta e reinstalla tutto

 

e conserva appunto uno stage4 della vecchia installazione come gia' suggerito da altri,

cosi ci lavori su con calma e continui a ravanare i log per ogni evenienza

----------

## neon

 *kattivo wrote:*   

> In effeti qui...appena qualcuno non sa...si prende un casino di parole...mica tutti sanno tutto...(almeno secondo me..). almeno se fosse cosi...non ci sarebbe neanche bisogno dei forum...
> 
> Ognuno sarebbe capace di arangiarsi...ma dubito che sia cosi!

 

Il forum e' uno strumento che si utilizza per svariati motivi, uno di questi e' chiedere un aiuto per qualche problema. Una cosa e' pero' chiedere: "Dove posso trovare informazioni sulla sicurezza riguardanti in particolare gentoo?". Un altra e' venire a chiedere come svolgere il lavoro specifico dell'admin. Come amministrare il tuo sistema non lo impari su di un forum. (anche se puoi trovare chi ti consiglia documentazione ed aiuti, come hanno fatto k.gothmog,Ferdinando ed altri)

Qualunque amministratore sa che meno servizi ci sono su di una macchina meglio e', quindi per quanto tu possa "patchare" la tua macchina se ci tieni molti servizi non c'e' GRsec che tenga...

 *kattivo wrote:*   

> [...] c'e solo la p 80 aperta..! spero che da li..nn facciano niente! potete darmi una garanzia su questo? il resto ï¿½  bloccato tutto da un router della cisco serie 1700! quindi non penso che possano bucarmi anche il router, e riaprirsi le loro porte..![...]

 

Non dipende dal modello, dalla marca, dal colore, dalla qualita' della plastica o dal numero di led del router. Dipende DALLA CONFIGURAZIONE.

k.gothmog: se esistesse l'ignore in forum penserei che kattivo l'abbia settato, dato che non ha risposto a nessuna delle giuste osservazioni che gli hai fatto notare.

----------

## randomaze

 *kattivo wrote:*   

> il resto è  bloccato tutto da un router della cisco serie 1700!

 

In tutta onestá, se veramente ha davanti qualcuno cosí bravo da trapanarti una macchina con grsec ben configurato, sei sicuro che possa fermarsi innanzi a un semplice router? Se cosí fosse perché avrebbero inventato i firewall?

Poi "solo la porta 80"... in realtá potrebbe essere una voragine. Potrebbe essere che il tuo attaccante é entrato proprio da li. Sei sicuro che apache é configurato correttamente?

Per il resto mi associo (in toto) a chi ti ha consigliato di rasare al suolo la macchina o, in alternativa (per evitare downtime dovuto ai tempi di installazione) di metterne su una nuova (nuova, non stage4 della precedente).

----------

## demone

Il problema potrebbe anche essere php in cui il safe_mod è settato ad off, o determinate applicazioni web buggate!ci sono molti fattori che possono portare alla violazione di un sistema!!!

Comunque torno a dire da 160 giorni ad oggi in grsec ci sono stati critical update basta guardare il changelog,

----------

## Cazzantonio

 *kattivo wrote:*   

> ho fatto analizzare a un mio amico il server ! ha detto che il grsec era impostato da dio...! era tutto apposto!

 

Beh i casi sono due... o il tuo amico si sbaglia o Dio ha scazzato a configurarlo...   :Wink: 

Sarei curioso di sapere come mai tenevi dc++ su un server tanto importante da meritare le attenzioni di Dio...

----------

## .:chrome:.

 *Cazzantonio wrote:*   

> Sarei curioso di sapere come mai tenevi dc++ su un server tanto importante da meritare le attenzioni di Dio...

 

non sai che è l'ultima moda?

DC++ lo si installa sui server in produzione con i dati dei clienti, così i suddetti dati possono essere scambiati via DC++

----------

## Cazzantonio

 *k.gothmog wrote:*   

> DC++ lo si installa sui server in produzione con i dati dei clienti, così i suddetti dati possono essere scambiati via DC++

 

Aaahhhh... si vede che non sono aggiornato...   :Laughing: 

----------

## !equilibrium

una cosa non mi Ã¨ chiara, (e non ho atteggiamenti spocchiosi, sono serio), cioÃ¨ non capisco il fatto "non posso riavviare il server perchÃ¨ deve avere un certo up-time"; scusami, ma il tuo quadriprocessore, in quante ore fa il reboot? mi sembra una scusa abbastanza patetica dire che non Ã¨ stato possibile aggiornare il kernel perchÃ¨ il server non si puÃ² riavviare... 

cioÃ¨ Ã¨ assurda sta cosa, al massimo un reboot ti porta via 1 o 2 minuti (ad abbondare!!), e ti fai problemi per un downtime cosÃ¬ irrisorio (e di cui i tuoi clienti dubito fortemente che se ne accorgano!!) perchÃ¨ non vuoi rogne con i clienti, perÃ² poi installi dc++ su un server di produzione? Oo

a parte questo, se proprio l'up-time al millisecondo Ã¨ importante e vitale per l'azienda in cui lavori, esiste kexec nel kernel, che ti permette di cambiare il kernel runtime senza ravviare fisicamente la macchina. 

p.s.: ti conviene tutelarti anche legalmente, perchÃ¨ sappi che se un server di un'azienda viene bucato e usato per fare attivitÃ  illegale (di qualunque genere) e chi ha subito l'illecito rintraccia il tuo ip o sa chi sei, ti puÃ² denunciare e farti causa. Tu come sysadmin vieni incriminato e condannato assieme all'azienda proprietaria del server bucato perchÃ¨ ritenuti entrambi responsabili. Ti dico questo perchÃ¨ per legge italiana, in relazione allo specifico caso che hai esposto qui in questo forum Ã¨ chiara: anche se non sei stato tu a commettere direttamente l'illecito, sei responsabile in solidale. E non ti sto dicendo cose cosÃ¬, tanto per fare lo spocchioso, te lo dico per esperienza personale, perchÃ¨ nel periodo 2004/2005 ho prestato servizio come perito tecnico giudiziario nel tribunale della mia cittÃ  per quanto concerne le questione informatiche/IT e mi sono capitate un paio di casi giuridici riguardanti proprio la questione di server crackati e di clienti incazzati; vincono sempre i clienti incazzati per il motivo sopra citato  :Wink:  e le multe e gli indennizzi sono salatissimi (soprattutto se hai violato la nuova legge sulla privacy)!! in un caso il sysadmin Ã¨ stato pure condannato penalmente perchÃ¨ usava i server aziendali per scopi personali, (ovviamente illeciti), chi ha orecchie per intendere...

----------

## kattivo

ragazzi...ancora non avete capito che questo server...non è l'unico...è un server che stiamo appoggiando i nuovi siti statici completamente pubblici ancora in progettazione di alcuni dei nostri clienti! il router cisco al momento sta droppando tutte le connesioni di questo server..! anche se questi dati venissero' rubati..non sarebbe un problema...non c'e proprio niente di importante..! niente che non si debba sapere! non c'e per niente tutta questa gravita che state parlando voi! piu che altro è il nostro server di scasseggio! e non è un 4 proc! è un semplice amd 1.3ghz...! il 4proc è il mio pc casalingo! non credo utilizzerei 2 7800gtx in sli per un server web e un verlihub! non credete? non ho tutti questi soldi da spendere! i server con i siti dei clienti sono piu al sicuro! questo serverino lo teniamo solo per prove, cagate, ecc! facciamo lostesso i backup visto che disponiamo di un hardware di backup a nastro che non utiliziamo piu negl'altri server..! vi ringrazio del vostro proccupamento...! ma tranquilli che non c'e nessun rischio! altrimenti lo avrei spento..come da voi consigliato! a me bastava solo documentarmi su come rendere una macchina piu sicura! giusto per avere piu esperienza nel campo! fin adesso è l'unico server mio che è stato bucato! ma è anche quello che ci ho messo meno impegno..! forse è perche teneva su tanti servizi..o meglio servizi con molta gente collegata, tipo il verlihub, teneva su 2000 connesioni di altri utenti! pero' vabbe! non c'e ne è mai fregato niente!  vi ripeto a noi bastava durasse altri 3 4 giorni..poi avremmo spostato tutto su altri server! abbiamo avuto sfiga..tutto qua!       

mi interesserebbe qualche link per la struttura del kernel..ne avete qualcuno in italiano? e magari qualcuno che ti spieghi i punti piu deboli di un sistema gentoo! quelli dove ci sono piu probabilita' di attacco, e cosa si puo' fare per pachtarli! grazie mille ancora...! 

Andrea,

----------

## GuN_jAcK

 *DarkAngel76 wrote:*   

> p.s.: ti conviene tutelarti anche legalmente, perchÃ¨ sappi che se un server di un'azienda viene bucato e usato per fare attivitÃ  illegale (di qualunque genere) 

 

non vuol dire che se ha un hub p2p su un server è per forza illegale... se non sono presenti fisicamente i file protetti da diritti d'autore sulla macchina non credo che possa essere denunciato.. almeno come credo io... comunque sia sono d'accordo sia con te che con k.gothmog !

----------

## Cazzantonio

 *kattivo wrote:*   

> mi interesserebbe qualche link per la struttura del kernel..ne avete qualcuno in italiano? e magari qualcuno che ti spieghi i punti piu deboli di un sistema gentoo! quelli dove ci sono piu probabilita' di attacco, e cosa si puo' fare per pachtarli! grazie mille ancora...!

 

Temo che la cosa sia un po' complessa... quello che cerchi tu sono delle informazioni su un campo talmente vasto che ci sono stati scritti sopra libri e libri... non è una cosa che si esaurisce in qualche link e via...

Mi sorprende il fatto che tu abbia impostato grsec senza sapere qualcosa dei "punti piu deboli di un sistema gentoo! quelli dove ci sono piu probabilita' di attacco, e cosa si puo' fare per pachtarli" (quoto le tue parole)...

Beh per imparare la struttura del kernel buona fortuna... sul kernel linux c'è tantissima documentazione da leggere e hai solo l'imbarazzo della scelta. Comunque a questo livello sapere la struttura del kernel non è che sia poi così utile...

TI consiglio di leggere la guida gentoo per la sicurezza intanto e cominciare da lì... capire come controllare i servizi che girano su una macchina e come ridurli al minimo necessario. utilizzare delle regole minimali di iptables per chiudere in entrata e uscita tutte le porte inutilizzate, usare sistemi IDS, usare aide o programmi simili per capire quali files siano o meno stati modificati da un eventuale intruso), usare snort, prelude e compagnia bella...

Una volta che hai chiaro queste cose inizierei a preoccuparmi anche del kernel... ma parecchio dopo...

----------

## .:chrome:.

 *Quote:*   

> ragazzi...ancora non avete capito che questo server...non è l'unico...è un server che stiamo appoggiando i nuovi siti statici completamente pubblici ancora in progettazione di alcuni dei nostri clienti!

 questa frase non vuol dire niente. hai preblemi anche ad esprimerti nell'idioma nazionale? (prima che ti venga il dubbio: idioma non è un'offesa)

 *Quote:*   

> il router cisco al momento sta droppando tutte le connesioni di questo server..!

 che figata, allora il tuo server non serve(r) a niente

 *Quote:*   

> anche se questi dati venissero' rubati..non sarebbe un problema... non c'e proprio niente di importante..! niente che non si debba sapere!

 allora rafforzi ancora di più i dubbi di DarkAngel76. la macchina come scrivi tu non è sola, ma in buona compagnia (deduco che sia parte di un sistema ridondato). questo vuol dire che può essere fermata. se il sistema l'hai fatto bene, e hai usato fonti più autorevoli del manuale delle giovani marmotte non succede niente.

fatto sta che adesso dici che si può spegnere. hai cambiato la versione dei fatti tre volte in un solo thread. non sai nemmeno te quello che stai facendo o hai solo voglia di postare cose inutili e di provocare la gente?

 *Quote:*   

> non c'e per niente tutta questa gravita che state parlando voi

 io invece la vedo. una macchina sfondata è una machina sfondata. evidentemente la tua cultura è così bassa da non capire il perché dopo che per TRE PAGINE DI THREAD te lo stanno spiegando.

quello che trovo assurdo è il modo in cui ti ostini a voler avere ragione dopo che ti è stato dimostrato che non sei minimamente preparato sull'argomento, e dopo che persone infinitamente più preparate di te ti stanno esplicitamente indicando la strada.

 *Quote:*   

> a me bastava solo documentarmi su come rendere una macchina piu sicura

 STUDIA!

la gente si laurea per capire quello che tu pretendi di capire con quattro link (in italiano, mi raccomando) e tu pretendi di cavartela così...? quello che scrivi è semplicemente assurdo, ed offensivo!

come hai fatto a compilare un kernel GRSecurty senza sapere niente sulla sicurezza?

[OT]vorrei solo far notare che questo personaggio sta evidentemente mantenendo vivo il thread solo per scrivere vaccate. non è possibile che non sappia nemmeno lui a cosa servono le sue macchine, e non è possibile che una persona cambi versione dei fatti per trre volte nello stesso thread.

che senso ha rivolgersi ad un forum di supporto per alimentare solo discussioni fregandosene delle risposte ottenute? è quello che kattivo sta facendo. tutti i suoi post sono solo delle provocazioni belle e buone...[/OT]

----------

## Cazzantonio

 *k.gothmog wrote:*   

> trovo assurdo è il modo in cui ti ostini a voler avere ragione dopo che ti è stato dimostrato che non sei minimamente preparato sull'argomento, e dopo che persone infinitamente più preparate di te ti stanno esplicitamente indicando la strada.

 

Per questo e altre ragioni ovvie (tipo il flame che sta nascendo giusto ora?   :Rolling Eyes:  ) Direi che mi sembra il caso di chiudere il thread prima che volino le botte....   :Rolling Eyes: 

----------

