Re: Mi sono entrati dentro!
On Wed, 21 Sep 2005 09:08:56 +0200 Alessandro De Zorzi <[EMAIL PROTECTED]> wrote: > ma esiste un controllo di "grammatica" dei pacchetti? qualcosa tipo un > DTD per l'XML che almeno mi dice preventivamente se un pacchetto è > conforme? Gli strumenti ci sono, basta conoscerli. Ad esempio lintian serve proprio a questo, riporto dalla descrizione del pacchetto: Description: Debian package checker Lintian dissects Debian packages and reports bugs and policy violations. It contains automated checks for many aspects of Debian policy as well as some checks for common errors. [...] This package is useful for all people who want to check Debian packages for compliance with Debian policy. Every Debian maintainer should check packages with this tool before uploading them to the archive. Sarebbe bene che ogni pacchetto fosse "lintian clean" ma IIRC non e' obbligatorio utilizzare un package checker anche se "Every Debian maintainer should check packages with this tool.."; ora non so come il maintainer di cups-pdf abbia creato il suo pacchetto ma o non ha utilizzato alcun package checker o non si e' curato dei messaggi riportati o lintian ha fallito. Per me l'errore resta grave perche' prima che un pacchetto diventi ufficiale passa attraverso una serie di step che avrebbero dovuto evidenziare l'incoerenza con la debian policy. Questo, per un pacchetto non ufficiale, non e' necessariamente vero. In generale direi che lintian fa bene il suo lavoro, nell'ultima pacchettizazione di archmbox mi ha segnalato molto utilmente un paio di sviste e ora mi segnala come TODO di aggiornarlo all'ultima Debian Policy. Ad ogni modo in lista ci sono altri maintainer e dd che potranno risponderti... ciao, a.
Re: Mi sono entrati dentro!
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Sandro Tosi ha scritto: > non rispondere in privato... scusami ero distratto e ho risposto al mittente e non a tutti, non e' stato intenzionale. - -- Mario Vittorio Guenzi Zincometal S.p.A. c.so Europa Str.prov 34 20010-Inveruno (MI) tel: 02-979661 fax: 02-97966351 E-mail [EMAIL PROTECTED] http://www.zincometal.com Si vis pacem, para bellum -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFDMSbxm6qs1ZkNrIoRAtwOAJkBMT1etVBvk+/55cGZFJc6SdR4ZwCfZ+5L /Hh9tD6wz+Efoo3Lw7fP6M8= =9M0N -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Mi sono entrati dentro!
Davide Corio wrote: > Ma nooo...non dire così :) > Debian è perfetta :) > > leggi come: l'ultima volta che ho fatto una domanda simile sono stato > quasi linciato :-) Alessandro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Mi sono entrati dentro!
straluna wrote: > concordo e preciso che non intendevo un bug di cups-pdf ma del > maintainer la cui scelta e' in palese contrasto con la debian-policy. > In questo senso era il mio "IMHO grave". certo, si era capito che era riferito al maintainer del pacchetto Debian :-) sarà che è necessario studiare meglio il funzionamento dei pacchetti debian ma mi sembra di capire che le "garanzie" nell'installare un pacchetto .deb stiano soprattutto nel fatto che il pacchetto sia ufficializzato da Debian più che nel suo formato... nel senso che installare un .deb non ufficiale mi pare di capire che sia molto più rischioso di quanto ragionevolmente si possa pensare... io immaginavo che invece fosse molto più rigida la faccenda, invece in uno dei miei test ho creato un deb che andava a sostituire slapd.conf (che è un errore gravissimo essendo di un altro pacchetto: ldap) e tutto funzionava, questo mi ha un po' sconvolto... in pratica devi fare i pacchetti che siano conformi... ma esiste un controllo di "grammatica" dei pacchetti? qualcosa tipo un DTD per l'XML che almeno mi dice preventivamente se un pacchetto è conforme? Alessandro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Mi sono entrati dentro!
non rispondere in privato... mando in reply alla lista che almeno si vede la tua risposta. > > bah, io ho visto gente che s'e' scritta un proprio script che, > > scandendo l'auth.log, aggiungeva dentro /etc/host.deny gli IP che > > generavano questo tipo di errore... > io uso con molta soddisfazione portsentry, fa' la stessa cosa e lo fa' > anche se non e' un brute force ma uno scan normale, poi tanto per non > trovarmi i log pieni di tentativi sulla 22 ho spostato ssh su una porta > completamente diversa e >> 1025 -- Sandro Tosi (aka Morpheus, matrixhasu) My (little) site: http://matrixhasu.altervista.org/
Re: Mi sono entrati dentro!
On Tue, 20 Sep 2005 12:31:25 +0200 Alessandro De Zorzi <[EMAIL PROTECTED]> wrote: > anche grazie al link segnalato da strluna puoi vedere che non è un > problema (bug) ma una scelta del Maintainer di "impostazione del > pacchetto"... sarà > > da ignorante trovo brutto che creare dir che non compaiono nel > pacchetto concordo e preciso che non intendevo un bug di cups-pdf ma del maintainer la cui scelta e' in palese contrasto con la debian-policy. In questo senso era il mio "IMHO grave". ciaps, a.
Re: Mi sono entrati dentro!
On 9/20/05, Alessandro De Zorzi <[EMAIL PROTECTED]> wrote: > Andrea Ganduglia wrote: > > > Ottimo grazie. In effetti e' qualche tempo che cups-pdf mi crea i file > > dove vuole, tipo in $HOME al posto di $HOME/cups-pdf. Provo a vedere > > se c'e' qualcosa che non va nei file di configurazione o di > > reinstallarlo da capo. > > anche grazie al link segnalato da strluna puoi vedere che non è un > problema (bug) ma una scelta del Maintainer di "impostazione del > pacchetto"... sarà > > da ignorante trovo brutto che creare dir che non compaiono nel pacchetto > > ignoro il motivo per il quale non si scelga di mettere la dir nel > pacchetto e semmai in postinst fare un chown se necessario... > > a questo punto mi chiedo chi controlla l'operato dei vari script dei > pacchetti? uno script "maligno" può cancellare file di altri pacchetti o > dpkg lo ferma? Anche a me pare brutto, soprattutto quando toccano la discendenza di $HOME. Cosa succede se prima di aggiornare faccio un umount /home? Un po' paranoico... ma di questi tempi -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: Mi sono entrati dentro!
Il giorno mar, 20/09/2005 alle 12.31 +0200, Alessandro De Zorzi ha scritto: > ignoro il motivo per il quale non si scelga di mettere la dir nel > pacchetto e semmai in postinst fare un chown se necessario... > > a questo punto mi chiedo chi controlla l'operato dei vari script dei > pacchetti? uno script "maligno" può cancellare file di altri pacchetti o > dpkg lo ferma? Ma nooo...non dire così :) Debian è perfetta :) leggi come: l'ultima volta che ho fatto una domanda simile sono stato quasi linciato -- Davide Corio [EMAIL PROTECTED] Redomino S.r.l.C.so Monte Grappa 90/b - 10145 Torino - Italy Tel: +39 011 19502871 - Fax: +39 011 19502871http://www.redomino.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Mi sono entrati dentro!
On 9/20/05, Ottavio Campana <[EMAIL PROTECTED]> wrote: > Andrea Ganduglia wrote: > >>>culpa) ho ancora un vecchio kernel 2.4. > >> > >>ma che versione? non per forza un software vecchio e che presenta una > >>falla, puo' essere sfruttato sulla tua macchina per averne accesso. > > > > 2.4.21-xfs > > con questo diventano root in un attimo se hanno una shell. Contiene il > baco con cui hanno paerto le macchine di debian. E gia`, ne sono coscente. Appena ho un giorno libero con una scorta di pazienza lo cambio... Ti ringrazio. -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: Mi sono entrati dentro!
Andrea Ganduglia wrote: > Ottimo grazie. In effetti e' qualche tempo che cups-pdf mi crea i file > dove vuole, tipo in $HOME al posto di $HOME/cups-pdf. Provo a vedere > se c'e' qualcosa che non va nei file di configurazione o di > reinstallarlo da capo. anche grazie al link segnalato da strluna puoi vedere che non è un problema (bug) ma una scelta del Maintainer di "impostazione del pacchetto"... sarà da ignorante trovo brutto che creare dir che non compaiono nel pacchetto ignoro il motivo per il quale non si scelga di mettere la dir nel pacchetto e semmai in postinst fare un chown se necessario... a questo punto mi chiedo chi controlla l'operato dei vari script dei pacchetti? uno script "maligno" può cancellare file di altri pacchetti o dpkg lo ferma? Alessandro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Mi sono entrati dentro!
On 9/20/05, Alessandro De Zorzi <[EMAIL PROTECTED]> wrote: > Andrea Ganduglia wrote: > > > drwxrwxrwx 2 nobody nogroup 4.0K Sep 17 19:21 ANONYMOUS > > come già anticipato è cups-pdf nel file cups-pdf.preinst che fa la dir > in questione > > /var/lib/dpkg/info/cups-pdf.preinst:if ! [ -d /home/ANONYMOUS ] > /var/lib/dpkg/info/cups-pdf.preinst:mkdir > /home/ANONYMOUS > > dpkg -S non trova il file non essendo parte del pacchetto Ottimo grazie. In effetti e' qualche tempo che cups-pdf mi crea i file dove vuole, tipo in $HOME al posto di $HOME/cups-pdf. Provo a vedere se c'e' qualcosa che non va nei file di configurazione o di reinstallarlo da capo. Grazie. -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: Mi sono entrati dentro!
On Tue, 20 Sep 2005 (00:15), Sandro Tosi wrote: > > ssh non risponda piu' al loro IP. Avevo sentito di una patch per > > iptables, ma non riesco a trovarla. > bah, io ho visto gente che s'e' scritta un proprio script che, > scandendo l'auth.log, aggiungeva dentro /etc/host.deny gli IP che > generavano questo tipo di errore... Esistono: http://www.pettingers.org/code/SSHBlack.html http://www.debian-administration.org/articles/187 Ciao, -- Daniele JID: [EMAIL PROTECTED] (http://www.jabber.org) and remember: respect is everything . . . . . . . . . . . free your mind signature.asc Description: Digital signature
Re: Mi sono entrati dentro!
Andrea Ganduglia wrote: > drwxrwxrwx 2 nobody nogroup 4.0K Sep 17 19:21 ANONYMOUS come già anticipato è cups-pdf nel file cups-pdf.preinst che fa la dir in questione /var/lib/dpkg/info/cups-pdf.preinst:if ! [ -d /home/ANONYMOUS ] /var/lib/dpkg/info/cups-pdf.preinst:mkdir /home/ANONYMOUS dpkg -S non trova il file non essendo parte del pacchetto Alessandro De Zorzi -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Mi sono entrati dentro!!
On Tue, 20 Sep 2005 08:26:42 +0100 (GMT+01:00) Jubushi <[EMAIL PROTECTED]> wrote: > Se non hanno cancellato i log sono sicuramente novellini. > Probabilmente hanno creato la cartella per compilarci gli sxploits e > poi hanno cancellato tutto. Se hai /home su un'altra partizione > diversa da quella di / smontala e fai così: > > scarica recover da http://recover. > sourceforge/linux/recover/ > installalo con make &&make install da root > ed avvialo. Inserisci i dati e metti come root l'utente. Vedi tra gli > inode e recupera quelli che corrispondono all'ora dell'intrusione. > cerca di capire se sono exploits e che buco utilizzano. poi tappalo. Non per insistere ma, piuttosto, per evitare ad Andrea evoluzioni che potrebbero risultare perlomeno inutili ri-consiglio di leggere il bugreport #326034 che riporta _esattamente_ il suo problema. Il responsabile e' cups-pdf che crea una directory /home/ANONYMOUS 777 nobody:nogroup per necessita' di samba. Si tratta ovviamente di un bug, grave IMHO, a cui il maintainer sta provvedendo. Cio' detto potrebbe anche non essere cosi'ma i miei 2 cents ce li scommetterei. ciao, a.
Re: Mi sono entrati dentro!!
Se non hanno cancellato i log sono sicuramente novellini. Probabilmente hanno creato la cartella per compilarci gli sxploits e poi hanno cancellato tutto. Se hai /home su un'altra partizione diversa da quella di / smontala e fai così: scarica recover da http://recover. sourceforge/linux/recover/ installalo con make &&make install da root ed avvialo. Inserisci i dati e metti come root l'utente. Vedi tra gli inode e recupera quelli che corrispondono all'ora dell'intrusione. cerca di capire se sono exploits e che buco utilizzano. poi tappalo.
Re: Mi sono entrati dentro!
Andrea Ganduglia wrote: >>>culpa) ho ancora un vecchio kernel 2.4. >> >>ma che versione? non per forza un software vecchio e che presenta una >>falla, puo' essere sfruttato sulla tua macchina per averne accesso. > > 2.4.21-xfs con questo diventano root in un attimo se hanno una shell. Contiene il baco con cui hanno paerto le macchine di debian. -- Non c'è più forza nella normalità, c'è solo monotonia. signature.asc Description: OpenPGP digital signature
Re: Mi sono entrati dentro!
Il giorno mar, 20/09/2005 alle 00.39 +0200, Andrea Ganduglia ha scritto: > In effetti non e' tanto il log che mi preoccupa, ma proprio questa > DIR. Ho letto gli advisory suggeriti da Sandro, e la via di Apache e' > la piu' solida, ma non ho altri riscontri. Neppure nei log. dpkg -S /home/ANONYMOUS Una volta mi è successa più o meno la stessa cosa e la dir l'aveva installata per sbaglio un pacchetto malfatto (ma non si chiamava ANONYMOUS). -- Federico Di Gregorio http://people.initd.org/fog Debian GNU/Linux Developer[EMAIL PROTECTED] INIT.D Developer [EMAIL PROTECTED] Don't dream it. Be it. -- Dr. Frank'n'further signature.asc Description: This is a digitally signed message part
Re: Mi sono entrati dentro!
On 9/20/05, Andrea Lusuardi - UoVoBW <[EMAIL PROTECTED]> wrote: > On Mon, 19 Sep 2005 22:55:46 +0200 > Andrea Ganduglia <[EMAIL PROTECTED]> wrote: > > > >From auth.log: > > Sep 17 19:08:30 quijote sshd[28913]: Illegal user test from > > 219.113.213.21 Sep 17 19:08:31 quijote sshd[28913]: error: Could not > > get shadow information for NOUSER > > Sep 17 19:08:31 quijote sshd[28913]: Failed password for illegal user > > test from 219.113.213.21 port 57839 ssh2 > > Sep 17 19:08:34 quijote sshd[28921]: Illegal user guest from > > 219.113.213.21 Sep 17 19:08:34 quijote sshd[28921]: error: Could not > > get shadow information for NOUSER > > Sep 17 19:08:34 quijote sshd[28921]: Failed password for illegal user > > guest from 219.113.213.21 port 57905 ssh2 > > questi log sono come hanno detto script kiddies > Se ssh ti serve solo per te e non fai i conti di dover dare accesso ad > altri o simili, pensa all'ipotesi di cambiare la porta, >=1025, in modo > da uscire dai loro scan Fatto. Mi sfugge perche' superiore a 1025... > se invece la devi tenere sulla 22 prova a implementare un > port-knocking-daemon come knockd Mo me lo studio. > per la dir vuota non ti so aiutare In effetti non e' tanto il log che mi preoccupa, ma proprio questa DIR. Ho letto gli advisory suggeriti da Sandro, e la via di Apache e' la piu' solida, ma non ho altri riscontri. Neppure nei log. Grazie! -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: Mi sono entrati dentro!
On Mon, 19 Sep 2005 22:55:46 +0200 Andrea Ganduglia <[EMAIL PROTECTED]> wrote: > Ora questi log non mi dicono niente, oppure sono rassicuranti, se non > che ho trovato una directory dentro /home chiamata > > drwxrwxrwx 2 nobody nogroup 4.0K Sep 17 19:21 ANONYMOUS # dpkg -l | grep cups-pdf ce l'hai? Se sì allora leggi http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=%23326034 ciao, a.
Re: Mi sono entrati dentro!
> Gia`. Come fai a intercettarli? Io vorrei che dopo qualche tentativo non li intercetto, semplice: non mi preoccupo troppo di un ragazzetto che cerca, col bruteforce, di entrarmi nel pc... > ssh non risponda piu' al loro IP. Avevo sentito di una patch per > iptables, ma non riesco a trovarla. bah, io ho visto gente che s'e' scritta un proprio script che, scandendo l'auth.log, aggiungeva dentro /etc/host.deny gli IP che generavano questo tipo di errore... > > > drwxrwxrwx 2 nobody nogroup 4.0K Sep 17 19:21 ANONYMOUS > > > > prima di tutto, cosa c'e' dentro quella directory? > > Niente. (ls -a) ok, nei log di apache vedi niente di sospetto attorno alle 19.15 - 19.20 del 17 settembre? > > ma che versione? non per forza un software vecchio e che presenta una > > falla, puo' essere sfruttato sulla tua macchina per averne accesso. > > 2.4.21-xfs aggiornarlo non ti fara' male, basta un colpo di apt-get... non seguo molto il lato security del kernel (beh, in generale non segui il lato security...) ma l'unico buco di sicurezza che mi viene in mente e' quello del brk(), ma e' un local exploit. cmq sia, aggiornalo! Ciao -- Sandro Tosi (aka Morpheus, matrixhasu) My (little) site: http://matrixhasu.altervista.org/
Re: Mi sono entrati dentro!
On 9/19/05, Sandro Tosi <[EMAIL PROTECTED]> wrote: > > >From auth.log: > ne sono pieno anch'io...sono script-kiddie che si divernono a provare > a bucare ssh basandosi su user comuni e password banali...se si > divertono troppo, cioe' il numero di tentativi supera la dozzina, > parte una simpatica mail all'abuse del loro provider (so che non serve > a nulla, ma sono rompiballe di natura...) Gia`. Come fai a intercettarli? Io vorrei che dopo qualche tentativo ssh non risponda piu' al loro IP. Avevo sentito di una patch per iptables, ma non riesco a trovarla. > > Ora questi log non mi dicono niente, oppure sono rassicuranti, se non > > che ho trovato una directory dentro /home chiamata > > drwxrwxrwx 2 nobody nogroup 4.0K Sep 17 19:21 ANONYMOUS > > prima di tutto, cosa c'e' dentro quella directory? Niente. (ls -a) > ok, solitamente nobody:nogroup e' l'utente usato da apache per forkare > i processi che servono le pagine web ai client. quindi, hai apache > sulla tua macchina? se si', che versione? da quant'e' che non > l'aggiorni? guardati questi due advisory di Debian: DSA 805-1 e DSA > 803-1. > > regole di iptables abbastanza rigide. Lavoro su TESTING pero' (mea > ma l'80 la fanno passare, giusto...? Iptables va passare la 80 in input, Apache e' la versione 1.3.33-8. Aggiorno ogni settimana (o piu'), ma in effetti il primo aggiornamento dopo le ferie l'ho fatto ieri: con un colpevole giorno di ritardo. > > culpa) ho ancora un vecchio kernel 2.4. > > ma che versione? non per forza un software vecchio e che presenta una > falla, puo' essere sfruttato sulla tua macchina per averne accesso. 2.4.21-xfs Ti ringrazio! -- Openclose.it - Idee per il software libero http://www.openclose.it
Re: Mi sono entrati dentro!
Andrea Ganduglia ha scritto: From auth.log: Sep 17 19:08:30 quijote sshd[28913]: Illegal user test from 219.113.213.21 Sep 17 19:08:31 quijote sshd[28913]: error: Could not get shadow information for NOUSER Sep 17 19:08:31 quijote sshd[28913]: Failed password for illegal user test from 219.113.213.21 port 57839 ssh2 Sep 17 19:08:34 quijote sshd[28921]: Illegal user guest from 219.113.213.21 Sep 17 19:08:34 quijote sshd[28921]: error: Could not get shadow information for NOUSER Sep 17 19:08:34 quijote sshd[28921]: Failed password for illegal user guest from 219.113.213.21 port 57905 ssh2 non sono un esperto, ma vedendo qui hanno solo provato degli utenti inesistenti sul tuo sistema. Forse è meglio che disabiliti l'accesso con ssh2 se non ti serve. Ora questi log non mi dicono niente, oppure sono rassicuranti, se non che ho trovato una directory dentro /home chiamata drwxrwxrwx 2 nobody nogroup 4.0K Sep 17 19:21 ANONYMOUS su questo non so risponderti hai un CVS installato? se no prova a cercare qui: http://www.google.it/search?hl=it&q=%2B%22%2Fhome%2FANONYMOUS%22&btnG=Cerca&meta= La cosa che mi lascia sconcertato e' che il mio e' un PC monoutente e collegato alla rete solo in certe ore del giorno. Inoltre ha delle regole di iptables abbastanza rigide. Lavoro su TESTING pero' (mea culpa) ho ancora un vecchio kernel 2.4. Mi aiutate a capire se il mio sistema e' compromesso? installa rkhunter Non è un pacchetto Debian, ma lo stanno debianizzando (http://www.rootkit.nl/) poi esegui: # rkhunter --update # rkhunter -c e vedi se ti hanno installato qualche trojan conosciuto Ciao Davide -- Linux User: 302090: http://counter.li.org Prodotti consigliati: Sistema operativo: Debian: http://www.it.debian.org Strumenti per l'ufficio: OpenOffice.org: http://it.openoffice.org Database: PostgreSQL: http://www.postgres.org Browser: FireFox: http://www.mozilla.org/products/firefox Client di posta: ThunderBird: http://www.mozilla.org/products/thunderbird -- Non autorizzo la memorizzazione del mio indirizzo di posta a chi usa outlook: non voglio essere invaso da spam
Re: Mi sono entrati dentro!
> >From auth.log: > Sep 17 19:08:30 quijote sshd[28913]: Illegal user test from 219.113.213.21 > Sep 17 19:08:31 quijote sshd[28913]: error: Could not get shadow > information for NOUSER > Sep 17 19:08:31 quijote sshd[28913]: Failed password for illegal user > test from 219.113.213.21 port 57839 ssh2 > Sep 17 19:08:34 quijote sshd[28921]: Illegal user guest from 219.113.213.21 > Sep 17 19:08:34 quijote sshd[28921]: error: Could not get shadow > information for NOUSER > Sep 17 19:08:34 quijote sshd[28921]: Failed password for illegal user > guest from 219.113.213.21 port 57905 ssh2 ne sono pieno anch'io...sono script-kiddie che si divernono a provare a bucare ssh basandosi su user comuni e password banali...se si divertono troppo, cioe' il numero di tentativi supera la dozzina, parte una simpatica mail all'abuse del loro provider (so che non serve a nulla, ma sono rompiballe di natura...) > Ora questi log non mi dicono niente, oppure sono rassicuranti, se non > che ho trovato una directory dentro /home chiamata > > drwxrwxrwx 2 nobody nogroup 4.0K Sep 17 19:21 ANONYMOUS prima di tutto, cosa c'e' dentro quella directory? ok, solitamente nobody:nogroup e' l'utente usato da apache per forkare i processi che servono le pagine web ai client. quindi, hai apache sulla tua macchina? se si', che versione? da quant'e' che non l'aggiorni? guardati questi due advisory di Debian: DSA 805-1 e DSA 803-1. > La cosa che mi lascia sconcertato e' che il mio e' un PC monoutente e > collegato alla rete solo in certe ore del giorno. Inoltre ha delle non cambia nulla: questa e' gente che va avanti a full scan di reti intere, non importa da quanto sei connesso ma se hanno gia' superato il tuo ip oppure no... > regole di iptables abbastanza rigide. Lavoro su TESTING pero' (mea ma l'80 la fanno passare, giusto...? > culpa) ho ancora un vecchio kernel 2.4. ma che versione? non per forza un software vecchio e che presenta una falla, puo' essere sfruttato sulla tua macchina per averne accesso. -- Sandro Tosi (aka Morpheus, matrixhasu) My (little) site: http://matrixhasu.altervista.org/
Mi sono entrati dentro!
>From auth.log: Sep 17 19:08:30 quijote sshd[28913]: Illegal user test from 219.113.213.21 Sep 17 19:08:31 quijote sshd[28913]: error: Could not get shadow information for NOUSER Sep 17 19:08:31 quijote sshd[28913]: Failed password for illegal user test from 219.113.213.21 port 57839 ssh2 Sep 17 19:08:34 quijote sshd[28921]: Illegal user guest from 219.113.213.21 Sep 17 19:08:34 quijote sshd[28921]: error: Could not get shadow information for NOUSER Sep 17 19:08:34 quijote sshd[28921]: Failed password for illegal user guest from 219.113.213.21 port 57905 ssh2 Ora questi log non mi dicono niente, oppure sono rassicuranti, se non che ho trovato una directory dentro /home chiamata drwxrwxrwx 2 nobody nogroup 4.0K Sep 17 19:21 ANONYMOUS La cosa che mi lascia sconcertato e' che il mio e' un PC monoutente e collegato alla rete solo in certe ore del giorno. Inoltre ha delle regole di iptables abbastanza rigide. Lavoro su TESTING pero' (mea culpa) ho ancora un vecchio kernel 2.4. Mi aiutate a capire se il mio sistema e' compromesso? -- Openclose.it - Idee per il software libero http://www.openclose.it