Ciao, Per prima cosa prova a guardare se hai uno sniffer installato! Stacca la macchina dalla rete.
Controlla se hai qualche scheda di rete in modalit� promisc: $ ifconfig se vedi la parolo PROMISC � molto probabile che tu abbia qualche sniffer installato. Controlla le connessioni aperte: $ netstat -t $ netstat -u Usa l'opzione -n se stacchi la macchina dalla rete... Se vedi qualche connessione sospetta cerca di capire che programma la ha aperta. Controlla i processi che girano sulla macchina: $ ps ax se vedi qualcosa di sospetto cerca di capire che programma � e cosa fa. Controlla i log in /var/log/daemon e /var/log/syslog e /var/log/setuid.changes vedi se ci sono strani tentativi (anche falliti) di connessione. Prova anche last (se hai subito un attacco serio non � molto affidabile). C'� poi un programma utilissimo per controllare che non siano stati modificati degli eseguibili che si trovano nella debian: $ debsums Gli altri controlli da fare in questi casi si trovano spiegati su http://www.cert.org Ciao, Michele $ last On 17-Jan-99 Carlo Nervi wrote: > Sono abbastanza preoccupato di strani rallentamenti osservati sulla > velocita' della rete. Ed appaiono soprattutto quando vi sono ping molto > strani ripetuti dalle stesse macchine. Ecco un esempio (daemon.log): > > Jan 17 20:50:54 chpc06 icmplogd: ping from eunet-gw.dataguard.no > Jan 17 20:50:55 chpc06 icmplogd: ping from stealth.kirenet.com > Jan 17 20:50:57 chpc06 icmplogd: ping from eunet-gw.dataguard.no > Jan 17 20:50:58 chpc06 icmplogd: ping from eunet-gw.dataguard.no > Jan 17 20:50:58 chpc06 icmplogd: ping from stealth.kirenet.com > Jan 17 20:51:04 chpc06 icmplogd: ping from nbtel52.nbtel.net > .... > > Notare che a volte i ping si susseguono a ritmi vertiginosi (una decina al > secondo, e piu'). > Non e' che qualcuno sta usando qualche IRC/Chat sul mio linux a mia > insaputa? > Come posso sapere che sta succedendo? > A dire il vero mi era stato detto che 'sti ping sono normali... > ...sara', ma a me non convince: troppo localizzati nel tempo e troppo > frequenti. > Help! > Carlo > > ----------------------------------------------------------------- > Dr. Carlo Nervi, Universita' di Torino, > Dipartimento di Chimica IFM, via P. Giuria 7, 10125 Torino, ITALY > phone: (Italy)-11-6707508 | e-mail: [EMAIL PROTECTED] > fax: (Italy)-11-6707855 | http://lem.ch.unito.it/ > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > ---------------------------------- E-Mail: Michele Comitini <[EMAIL PROTECTED]> Date: 21-Jan-99 Time: 11:24:22 This message was sent by XFMail ----------------------------------
