Il giorno 07/lug/09, alle ore 19:19, pac ha scritto:
Come posso fare per difendere un indirizzo pubblico che ha un accesso ssh oltre a cambiare porta ?
il problema non e' tanto cambiare la porta. O meglio, il cambio di porta evita che gli script automatizzati tentino di accedere e quindi e' cosa buona per tenere almeno i log un po' piu' puliti.
Cosa posso controllare ancora ?
come hanno fatto ad entrare, p.es. SSH e' un ottimo prodotto, a meno di pwd scarse, funziona perfettamente ed e' sicuro. Cerca di capire come sono entrati guardando i logo di tutti i servizi attivi e pubblici, soprattutto quelli dove intrinsecamente e' possibile caricare qualcosa (web).
nel mio caso una webmail fallata e non correttamente aggiornata dai colleghi addetti (si trattava di roundcube) per essere esatti. se si tratta di una macchina pubblica, controlla a fondo i log, qualche rimasuglio di solito resta. se sono passati per codice errato in un server web controlla tutti i log di apache (usi apache?).
in ultimo, verifica che non siano stati sostituiti altri binari (oltre alla roba che ti sei trovato installato).