Re: Mi è partito PhpMyadmin
On 19/02/2012 19:56, Giorgio Bompiani wrote:
Il 18/02/2012 20:53, Davide Prina ha scritto:
On 18/02/2012 12:04, Giorgio Bompiani wrote:
.......
qui è indicato qual'è il log:
All results have been written to the log file (/var/log/rkhunter.log)
Ho copiato nella mail tutte le righe del log che non erano certamente
negative
hai indicato questo:
Rootkit checks...
Rootkits checked : 245
Possible rootkits: 2
Rootkit names : Xzibit Rootkit, Xzibit Rootkit
però non hai indicato quali sono i 2 file che contengono i possibili
rootkits.
per esempio a me rkhunter ne segnala 1:
Warning: Checking for possible rootkit strings [ Warning ]
Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible
rootkit: Xzibit Rootkit
Found string 'hdparm' in file '/etc/init.d/.depend.boot'.
Possible rootkit: Xzibit Rootkit
ma sono falsi positivi, perché il primo è lo script di init per hdparm,
mentre il secondo è l'elenco delle dipendenze durante la fase di boot.
ATTENZIONE: che per i programmi controllo se è cambiato qualcosa
rispetto all'ultimo controllo e quindi se hai aggiornato qualche
pacchetto te lo segnala... il controllo in teoria andrebbe fatto dopo
ogni aggiornamento del sistema in modo da verificare e poi per impostare
la base del confronto successivo
following suspicious files and directories were found:
......
Che vuol dire dai un'occhiata? mi sa che la mia cultura tecnica non è
adeguata :-\
guardare cosa contengono.
Per esempio se sono vuoti o sono file di configurazione non dovrebbero
essere pericolosi. Se invece sono script o binari... (puoi vederlo con
il comando file)
$ ps -def | grep tty
ps -def | grep tty
root 1802 1779 1 08:16 tty7 00:10:46 /usr/bin/X :0 vt7 -br -nolisten tcp
-auth /var/run/xauth/A:0-Uieitb
root 2588 1 0 08:16 tty1 00:00:00 /sbin/getty 38400 tty1
root 2589 1 0 08:16 tty2 00:00:00 /sbin/getty 38400 tty2
root 2590 1 0 08:16 tty3 00:00:00 /sbin/getty 38400 tty3
root 2591 1 0 08:16 tty4 00:00:00 /sbin/getty 38400 tty4
root 2592 1 0 08:16 tty5 00:00:00 /sbin/getty 38400 tty5
root 2593 1 0 08:16 tty6 00:00:00 /sbin/getty 38400 tty6
ma scusa come fai a fare il login sul sistema?
Accedi da remoto?
in teoria non dovrebbe esserci /usr/bin/X, ma /usr/bin/Xorg, almeno credo.
Io pensavo che quel tipo di riga servisse solo a programmi tipo vnc per
connettersi da remoto...
Ma che display manager usi... se ne usi uno.
cosa hai installato? (all'incirca)
$ dpkg -l | egrep "ii[[:space:]]*[^[:space:]]dm"
questi dovrebbero essere i possibili display manager
$ debtags search x11::display-manager
gdm3 - Next generation GNOME Display Manager
gpe-login - login window for the G Palmtop Environment
kdm - KDE Display Manager for X11
kdm-gdmcompat - Provide basic gdm functionality to systems running kdm
ldm - LTSP display manager
sdm - Secure Display Manager - secure remote access to X11
sdm-terminal - Secure Display Manager - terminal files
slim - desktop-independent graphical login manager for X11
wdm - WINGs Display Manager - an xdm replacement with a WindowMaker look
xdm - X display manager
tu stai usando xauth, quindi
$ apt-cache rdepends xauth
xauth
Reverse Depends:
kdelibs4c2a
xtrace
xvfb
xserver-common
xorg
xbase-clients
xinit
tightvncserver
sux
pkpgcounter
openssh-server
openssh-client
open-vm-toolbox
ltsp-server-standalone
ltsp-server
|libgksu2-0
ldm-server
kdm-gdmcompat
libkdesu5
dropbear
deejayd
quindi desumo che tu stia usando come DM kdm-gdmcompat
giusto?
# netstat -putan
root@pc-studio:/home/giorgio# netstat -putan
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
[...]
non mi sembra ci sia nulla di strano
Però in ogni caso se il sistema è stato compromesso potrebbero essere
state nascoste le prove e modificati i programmi che possono identificarle.
Ciao
Davide
--
Dizionari: http://linguistico.sourceforge.net/wiki
Petizione per liberare i PC:
http://www.petitiononline.com/liberasw/
Non autorizzo la memorizzazione del mio indirizzo su outlook
Reply to: