Re: Violazione computer : Come fare ?
Il giorno 08 Luglio 2009 12.19, Carlo<pedro2003@tin.it> ha scritto:
>
>> Luigi di Lazzaro ha scritto:
>>>>
>>>> pac ha scritto:
>>>> Dopo aver eliminato tutto e cambiata porta ssh questa mattina ho
>>>> scoperto nuova violazione.
>>>> Il log dice
>>>> Jul 8 08:04:58 sshd[23885]: Accepted password for root from
>>>> 79.33.45.194 port 40063 ssh2
>>>> Jul 8 08:04:59 arpaca sshd(pam_unix)[23885]: session opened for user
>>>> root by (uid=0)
>>>> Allora la porta che ho cambiato non la 40063 e comunque questa non è
>>>> aperta nel router x ssh, anzi non è aperta per nulla.
>>>> Quindi volevo sapere cosa è successo secondo voi e come fare ?
>>>>
>>>
>>> Non permetttere l'accesso a root via ssh. C'e' un'apposita opzione nel
>>> file di configurazione /etc/sshd_config
>>> PermitRootLogin no
>>> di default e' su yes
>>>
>>> Luigi
>>>
>>>
>
> Completo scrivendo che un bel chkrootkit , rkhunter, fcheck,
> un bel giro con clamav, un bel netstat -putan per vedere cosa
> c'è che ascolta dovrebbe bastare :)
>
>
> magari guardati anche la history dei comandi per sapere cosa sta facendo
> visto che molto intelligentemente chi accede al server non si premura di
> cancellare
> i log
>
>
>
I log sono stati cancellati, ma dopo essermi scottato ho attivato un
server di log su cui comunque i log sono stati duplicati e rimasti
integri
>
>
>
>
> --
> Per REVOCARE l'iscrizione alla lista, inviare un email a
> debian-italian-REQUEST@lists.debian.org con oggetto "unsubscribe". Per
> problemi inviare un email in INGLESE a listmaster@lists.debian.org
>
> To UNSUBSCRIBE, email to debian-italian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
>
>
Reply to: