Re: Violazione computer : Come fare ?
Il giorno 08 Luglio 2009 21.21, Davide Prina<davide.prina@gmail.com> ha scritto:
> il problema, secondo me, è che se sono entrati nella tua macchina e hanno
> avuto l'accesso di root, allora, da quel che so io, non esiste un metodo
> sicuro per riprendersi il possesso totale della macchina.
> Possono aver cambiato ogni singolo eseguibile, possono aver creato processi
> che si mettono in ascolto su una porta una volta all'anno, ... possono aver
> modificato il tool per ricercare i rootkit o semplicemente possono aver
> installato qualcosa fatto da loro che non è ancora identificato come tale.
Concordo pienamente: il server va azzerato totalmente e rifatto ex
novo; tutto ciò che c'era è da corsiderarsi compromesso (non
necessariamente i dati, dipende da che cosa sono e quanto il cracker
avesse motivo di alterarli).
Non consentire mai più l'accesso via ssh a root.
Se davvero l'intruso ha prima compromesso una macchina client, devi
chiederti se le macchine client possono essere considerate affidabili
(se chiunque può metterci le mani la risposta è no, non sono
affidabili: se io ho il controllo di un client, oltre a modificare i
vari comandi ssh, posso intercettare quando scarichi una versione
pulita di ssh e la installi, e taroccarla; posso modificare le
funzioni di accesso ai file per fare in modo che a guardarlo
l'eseguibile sembri pulito, ma ad eseguirlo no; posso non modificare
l'eseguibile, ma intercettarne l'esecuzione, in modo che quando uno
lancia ssh non viene lanciato il vero ssh ma un altro processo...)
Se i client non sono affidabili, gli account che questi utilizzano via
ssh non devono avere sudo abilitato (se non eventualmente per singoli
comandi innocui - e sono molto pochi i comandi innocui); sarebbe anzi
il caso di farli girare sempre in un ambiente fakeroot.
Se qualche utente ha bisogno di collegarsi via ssh e acquisire
privilegi, deve necessariamente poter rispondere del computer che usa.
ah, se scopri come hanno fatto faccelo sapere.
pietro
Reply to: