heba <mat.r.gl@gmail.com> scrisse: Premesso che non dai abbastanza informazioni (come ti colleghi, ISP, versione del sistema?) e che i log non sono abbastanza circostanziati (il resto dei log, azioni in corso?), vorrei mostrarti che _molto probabilmente_ non c'è alcuna falla, solo incomprensioni. Il Debian Security Team è già abbastanza oberato, ed anche per loro è ferragosto, quindi non scomodiamoli subito :). > è un po' che ho uno che mi si intromette nel sistema, non lo ha > fermato nemmeno il firewall a 3, metterlo a 0 servirebbe a poco penso. «Un po'» è vago... giorni, mesi, anni? Tiro ad indovinare, da quando ti colleghi con questa modalità (che poi qual'è? ppp puro? over Eth o Atm?)... «Firewall 3 o 0» è un po' vago, non conoscendo il resto dell'architettura di rete. > Volevo blacklistarlo, ma se è una falla all'interno del sistema debian > penso che serva a meno di zero anche questa soluzione. «Sistema Debian» è un po' vago... versione? Ovviamente la falla sarà in qualche componente, quale? > Se è una falla di chi sarebbe la competenza? kernel.org o debian > direttamente? Ripeto falla di che? Se è del kernel è del kernel, se è di iptables è di iptables, se è di polygen è polygen ;)... Ovviamente a ciascuno vanno le relative segnalazioni. Ovviamente solo segnalazioni di cose _reali_, dopo aver _accuratamente_ controllato con la _documentazione_ relativa. > Vi allego la parte che indica l'intrusione, magari ho > anche sbagliato a controllare e non mi entra ma me lo rigetta > direttamente o non è una falla. 4 righe di log senza il resto del contesto non voglion dire nulla. «Me lo rigetta direttamente»: chi rigetta cosa? da dove? e per dove? > Chiedo scusa, ma il log si è modificato ultimamente, prima c'era solo > il numero di ip sottostante, ora invece anche tutto il resto e non > riesco a capire esattamente a cosa si riferisca, soprattutto la chiave > esadecimale, ho capito solo root a dire il vero di quella chiave...:$ Log del demone pppd, atto alla connessione punto-punto. Si presume tu abbia invocato la chiamata. La domanda è verso dove? Si presume il tuo ISP. Quale? Non si sa. (Immagino eutelia) Con che connessione? Non si sa. (Si presume modem) 56k? PPPoE? PPPoA? Non si sa. > Aug 12 16:01:15 localhost pppd[14266]: rcvd [IPCP ConfReq id=0x1 <addr 62.94.58.7>] > Aug 12 16:01:15 localhost pppd[14266]: sent [IPCP ConfAck id=0x1 <addr 62.94.58.7>] Qua manca la parte iniziale dei log, la connessione seriale è già cominciata, stai negoziando la configurazione dei layer superiori. Non sono esperto di LCP/IPCP, ma immagino quell'IP sia della macchina con cui stai instaurando la connesione, di nome: «l2.mi8.ea.eutelia.it» Immagino sia uno dei POP milanesi di Eutelia. > Aug 12 16:01:16 localhost pppd[14266]: rcvd [LCP ProtRej id=0x1 80 fd 01 01 00 0f 1a 04 78 00 18 04 78 00 15 03 2f] > Aug 12 16:01:16 localhost pppd[14266]: Protocol-Reject for 'Compression Control Protocol' (0x80fd) received > Aug 12 16:01:16 localhost pppd[14266]: rcvd [IPCP ConfRej id=0x1 <compress VJ 0f 01>] Il server non accetta il protocollo di compressione (0x80fd). La stringa hex, tradotta in ascii suona come: «?????????x?????x?????/» Codici di controllo per lo più, controllo della connessione, direi. E comunque non vedo "root" da nessuna parte. > grazie e scusate l'impiccio. > buon ponte per chi lo fa. Ciao, Luca P.S. ok, non sono un esperto, potrei sbagliare sui dettagli, ma credo che le mie deduzioni siano almeno in generale corrette. P.P.S. questa è mail è stata MOLTO bonaria. Personalmente concordo coi toni abbastanza aspri delle altre mail di risposta, ma credo che una spiegazione tecnica dell'«incomprensione» sia l'unico modo per metter fine a quest'INUTILE thread. -- .''`. ** Debian GNU/Linux ** | Luca Bruno : :' : The Universal O.S. | luca.br(AT)uno.it `. `'` | GPG Key ID: 3BFB9FB3 `- http://www.debian.org | Proud Debian GNU/Linux User
Attachment:
pgpXB_yxbjPRa.pgp
Description: PGP signature