Re: intrusione
Pol Hallen ha scritto:
Ciao,
> chiedo aiuto agli esperti :-)
Purtroppo non ho questa qulifica ...
>
> siccome non riuscivo più a fare su, con last scopro:
>
> root pts/0 31.14.106.154 Mon Jul 1 12:28 - 12:28 (00:00)
> root pts/0 31.14.106.154 Mon Jul 1 09:43 - 09:45 (00:01)
>
> quell'ip arriva dalla romania... ora:
>
> in ssh, è negato l'accesso root, la password utente (vi è un solo
> utente) è complessa (strano infatti non l'abbia cambiata).
>
> E' una macchina virtuale dentro una lan: in 3 secondi ripristino lo
> snapshot (quindi non ho problemi) mi preoccupa però in che modo il
> Signor Romania possa essere entrato. Nei logo vedo anche:
>
> Jul 11 06:26:01 server5 /USR/SBIN/CRON[4522]: (root) CMD
> (/root/Agent/update >/dev/null 2>&1)
>
> sembra un comando eseguito da cron che aggiorna qualcosa
Esiste uno script chiamato update nell'indirizzario /root/Agent?
In caso affermativo, cosa contiene?
Ciao
Luigi
Reply to:
- References:
- intrusione
- From: Pol Hallen <debitvaio@fuckaround.org>