Re: intrusione (ecco a voi lo script)

To: debian Italian <debian-italian@lists.debian.org>
Subject: Re: intrusione (ecco a voi lo script)
From: Pol Hallen <debitvaio@fuckaround.org>
Date: Fri, 12 Jul 2013 21:37:41 +0200
Message-id: <[🔎] 51E05B05.6010201@fuckaround.org>
In-reply-to: <51E054D0.9070208@gmail.com>
References: <[🔎] 51DF0228.9070303@fuckaround.org> <[🔎] 51E01A16.1070701@fuckaround.org> <51E054D0.9070208@gmail.com>

> toglilo immediatamente dalla rete ... ci sono indirizzi IP con id/pwd

tolto, grazie :-) stavo giusto dando un'occhiata ora...

In ogni caso (per quanto possa essere dannoso) e allo stesso tempo
invasivo è molto facile da rilevare (se me ne sono accorto io che non
sono affatto un esperto...)

Ricordo che i rk seri venivano abbinati ad una ricompilazione del kernel
in modo che comandi tipo netstat o altro non mostravano la connessione
del rootkit, idem per ps e compagnia bella.

Oltretutto aggiungevano un account root invisibile (sempre per via del
kernel patchato) di modo che il tutto era invisibile al sistema e quindi
"impossibile" da rilevare.

Un server di log esterno è indispensabile sicuramente e ricordo tempo fa
uno script che appena installato il sistema ex-novo creava un checksum
di ogni file/comando vitale ed eseguiva scansioni periodiche per verifica.

Magari conosci il nome? Dovrei cercare ma oggi sono proprio ko :-/

Pol

Reply to:

Follow-Ups:
- Re: intrusione (ecco a voi lo script)
  - From: "dea" <dea@corep.it>

References:
- intrusione
  - From: Pol Hallen <debitvaio@fuckaround.org>
- Re: intrusione (ecco a voi lo script)
  - From: Pol Hallen <debitvaio@fuckaround.org>

Prev by Date: Re: intrusione
Next by Date: Re: intrusione (ecco a voi lo script)
Previous by thread: Re: intrusione (ecco a voi lo script)
Next by thread: Re: intrusione (ecco a voi lo script)
Index(es):
- Date
- Thread