[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: intrusione

Ciao,
Premetto che non sono molto esperto tuttavia spero di darti buon consiglio a riguardo: 

Che kernel usi? Se non ricordi male tempo fà ci fù un bug nel kernel
Prova a fare qualche check forse vi era già stato un precedente accesso e avevano lasciato un backdoor 
Controlla che tutti i servizi installati siano up-to-date
Vedi se nel /etc/passwd ci sono utenti che non hai creato te, magari sono entrati tramite quello e hanno usato qualche privilege escalation 


Il 11/07/2013 21:06, Pol Hallen ha scritto:

chiedo aiuto agli esperti :-)

siccome non riuscivo più a fare su, con last scopro:

root     pts/0        31.14.106.154    Mon Jul  1 12:28 - 12:28  (00:00)
root     pts/0        31.14.106.154    Mon Jul  1 09:43 - 09:45  (00:01)

quell'ip arriva dalla romania... ora:

in ssh, è negato l'accesso root, la password utente (vi è un solo
utente) è complessa (strano infatti non l'abbia cambiata).

E' una macchina virtuale dentro una lan: in 3 secondi ripristino lo
snapshot (quindi non ho problemi) mi preoccupa però in che modo il
Signor Romania possa essere entrato. Nei logo vedo anche:

Jul 11 06:26:01 server5 /USR/SBIN/CRON[4522]: (root) CMD
(/root/Agent/update>/dev/null 2>&1)

sembra un comando eseguito da cron che aggiorna qualcosa

idee? grazie!

Pol




--
http://miriodev.net
Reply to: