[ml] Re: [RiminiLUG-General] Intrusione su vps Aruba

Mauro Ferri Fri, 13 Nov 2009 08:57:27 -0800

Il giorno 12 novembre 2009 09.21, Daniele Palumbo <[email protected]> ha
scritto:


> Il mercoled? 11 novembre 2009 19:22:07 Mauro Ferri ha scritto:
> > Spero che questo sia il posto giusto per postare questo tipo di
> richieste,
> > in caso contrario me ne scuso in anticipo.
>
> l'ideale sarebbe [email protected], per? ... :)
>

Fatto

 pi? che altro ? interessante lanciare il comando qmail-qstat (di solito
> in /var/qmail/bin/qmail-qstat )
>

Output di qmail-qstat:
messages in queue: 247844
messages in queue but not yet preprocessed: 86


>
> Prima di tutto dovresti capire:
> 1) il tipo di "intrusione", cosa dice l'output di `last`? Quando ci sono
> stati
> gli ultimi login?
>

Output di last:
bagno93  ftpd21932    82.107.122.25    Thu Nov 12 10:28 - 11:09  (00:41)
bagno93  ftpd11774    82.107.122.25    Thu Nov 12 10:23 - 10:28  (00:05)
bagno93  ftpd11773    82.107.122.25    Thu Nov 12 10:23 - 11:09  (00:46)
bagno93  ftpd11770    82.107.122.25    Thu Nov 12 10:23 - 10:52  (00:28)
bagno93  ftpd12176    82.107.122.25    Thu Nov 12 10:08 - 10:23  (00:14)
bagno93  ftpd12175    82.107.122.25    Thu Nov 12 10:08 - 10:23  (00:14)
bagno93  ftpd11561    82.107.122.25    Thu Nov 12 10:08 - 10:23  (00:15)
reboot   system boot  2.6.9-023stab051 Tue Nov 10 21:40         (1+13:33)
claudio  ftpd3650     80.59.203.86     Mon Nov  2 22:03 - 22:09  (00:05)
claudio  ftpd13589    87.230.88.245    Mon Nov  2 08:16 - 08:16  (00:00)
claudio  ftpd28156    87.230.88.245    Mon Nov  2 07:22 - 07:22  (00:00)
reboot   system boot  2.6.9-023stab051 Mon Nov  2 05:44         (8+15:55)
claudio  ftpd19819    87.230.88.245    Mon Nov  2 00:25 - 00:25  (00:00)
claudio  ftpd30160    87.230.88.245    Sun Nov  1 20:58 - 20:58  (00:00)
claudio  ftpd27753    89.142.193.115   Sun Nov  1 15:00 - 15:00  (00:00)

L'utente ftp bagno93 l'ho usato io, anche l'utente ftp claudio esiste ma non
so chi pu? averlo usato: il titolare sel servizio mi dice che non l'ha
usato.

2) quali tipi di servizi sono attivi sulla macchina? `netstat -lntp` e
> `netstat -lnup` aiutano (porte in listening in tcp ed in udp)
>
  Ecco i servizi attivi:
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address
State       PID/Program name
tcp        0      0 0.0.0.0:993                 0.0.0.0:*
LISTEN      16283/couriertcpd
tcp        0      0 0.0.0.0:995                 0.0.0.0:*
LISTEN      16305/couriertcpd
tcp        0      0 0.0.0.0:106                 0.0.0.0:*
LISTEN      26280/xinetd
tcp        0      0 0.0.0.0:3306                0.0.0.0:*
LISTEN      16004/mysqld
tcp        0      0 0.0.0.0:110                 0.0.0.0:*
LISTEN      16293/couriertcpd
tcp        0      0 0.0.0.0:143                 0.0.0.0:*
LISTEN      16271/couriertcpd
tcp        0      0 0.0.0.0:8880                0.0.0.0:*
LISTEN      17475/httpsd
tcp        0      0 0.0.0.0:80                  0.0.0.0:*
LISTEN      16349/httpd
tcp        0      0 0.0.0.0:465                 0.0.0.0:*
LISTEN      26280/xinetd
tcp        0      0 0.0.0.0:21                  0.0.0.0:*
LISTEN      26280/xinetd
tcp        0      0 62.149.169.87:53            0.0.0.0:*
LISTEN      15817/named
tcp        0      0 127.0.0.1:53                0.0.0.0:*
LISTEN      15817/named
tcp        0      0 0.0.0.0:22                  0.0.0.0:*
LISTEN      13831/sshd
tcp        0      0 127.0.0.1:3000              0.0.0.0:*
LISTEN      27703/drwebd
tcp        0      0 0.0.0.0:25                  0.0.0.0:*
LISTEN      26280/xinetd
tcp        0      0 127.0.0.1:953               0.0.0.0:*
LISTEN      15817/named
tcp        0      0 0.0.0.0:8443                0.0.0.0:*
LISTEN      17475/httpsd
tcp        0      0 0.0.0.0:443                 0.0.0.0:*
LISTEN      16349/httpd

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address
State       PID/Program name
udp        0      0 0.0.0.0:43342               0.0.0.0:*
15817/named
udp        0      0 62.149.169.87:53            0.0.0.0:*
15817/named
udp        0      0 127.0.0.1:53                0.0.0.0:*
15817/named



> 3) usa una versione compilata staticamente di un rootkit detector
> (rkhunter,
> ad esempio)
>
Adesso mi informo...


> 4) (ma in realt? il primo da fare): se pulisci tutta la coda di qmail
> (qmail-qread | grep vari |
> qmail-nonricordoilcomandopercancellarelamailincoda), e lanci un relay
> checker
> (es: http://www.abuse.net/relay.html ) cosa dice?
>
Il servizio di mail relay checking che mi hai segnalato dice "The host
rejected all attempts to relay a test message.". Ho lanciato il comando
qmail-clean che non restituisce alcun segnale (cisono oltre 240000 messaggi
in coda come da comando qmail-qstat)


> 5) (ancora prima da fare) iptables -A INPUT -p tcp --dport 25 -j REJECT
> cos?
> intanto non metti altre mail in coda. volendo anche iptables -A OUTPUT -p
> tcp --dport 25 -j REJECT cos? non mandi fuori mail di spam.
>
Questo non l'ho ancora fatto ma ho chiuso il servizio qmail da Plesk


>
> e poi vediamo...
>
Molte grazie per le preziose informazioni, sono un assoluto pricipiante
nella amministrazione del vps che uso solo per ospitare miei siti e quelli
di alcuni amici.


>
> bye
> d.
>

Ciao
Mauro

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

[ml] Re: [RiminiLUG-General] Intrusione su vps Aruba

Rispondere a