Re: Violazione computer : Come fare ?

[bodrato@mail.dm.unipi.it]

Ciao,

mi dispiace di aver azzeccato la diagnosi...

> La porta è sistemata.
> Secondo me il problema è dipeso da un mio grosso errore.

Secondo me, invece, dipende da un altro problema. Il furbastro oramai
_conosce_ la password di root. L'hai cambiata?

> Una domanda. Nel caso avesse preso il file /etc/passwd questi è
> decrittabile ?
> Contiene anche le password di ssh, sono decrittabili le password di ssh ?

Il programma ssh protegge le password mentre sono in rete, ma sul disco le
password di ssh sono le stesse di telnet :-)
Il fatto e` che il furbastro ha ottenuto le password compromettendo
qualche computer e inserendo la _propria_ versione di ssh, che, in qualche
modo che ora non indaghiamo, ha rivelato le password usate al suddetto
furbastro.
Ovvero, prima di compromettere un server, probabilmente il furbastro ha
compromesso uno dei client che gli si connette. Bisogna mettere in
sicurezza anche quelli!
Sicuramente sarebbe bene far cambiare password a tutti gli utenti, dopo
avergli fatto verificare di avere un ssh sano... Inoltre rigenerare tutte
le chiavi ssh...

Anche i consigli anti root-kit che altri ti hanno dato, vanno ovviamente
seguiti.

Buona fortuna,
m

-- 
http://bodrato.it/