Messaggio 00116 di 121

From Marco Bertorello <marco@nosgoth.homelinux.org>

Date Wed, 9 Nov 2005 16:40:48 +0100

Subject Re: [Hackmeeting] backdoor

--Signature_Wed__9_Nov_2005_16_40_48_+0100_js5BqbFPnuJQ8yGw
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: quoted-printable

In data Wed, 09 Nov 2005 16:34:01 +0100, filippo <filippo@elbalinux.org>
scrisse:

> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>=20
> Marco Bertorello wrote:
> > In data Wed, 09 Nov 2005 16:13:49 +0100, renato gallo
> > <renatogallo@katamail.com> scrisse:
> >=20
> >=20
> >>che io sappia un emerita ceppa :D reinstalla la macchina ho idea che
> >>hai trovato la punta di un iceberg
> >=20
> >=20
> > La reinstallazione della macchina =E8 una cosa _certa_ per=F2 mi preme
> > anche capire:
> >=20
> > 1) come =E8 entrato il mentecatto
>=20
> dovresti controllare se ci sono per esempio login,top,ps,ls e altri
> comandi modificati,io una volta mi sono accorto di una macchina bucata
> perche c'era un switch su ls che non ho mai usato.

i log visualizzano il mio come solo utente ad aver fatto login.
dove altro potrei guardare?=20

Un'altra cosa che ho notato =E8 l'esistenza di un file /etc/shadow- (il
meno in fondo) con una data di modifica pi=F9 vecchia di /etc/shadow.

ho fatto un diff e mi ha evidenziato la differenza di un solo utente (a
cui ho tempestivamente provveduto a cambiare la password).

Ora ho messo al lavoro john the ripper su entrambi i file

ciao,

--=20
Marco Bertorello 		System Administrator
Linux Registered User #319921	marco@bertorello.ns0.it

"Conoscere Bill Gates era il secondo dei miei sogni, il primo =E8 quello
di visitare Disneyland" - Arfa Karim

--Signature_Wed__9_Nov_2005_16_40_48_+0100_js5BqbFPnuJQ8yGw
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFDchiDMEUv215HZGARArlQAJ0QWJedlQNR6M+uJh+VuhbHrh7XdwCfYB6J
TmRp6RNhKMxRis0sVzpjtfs=
=ngCJ
-----END PGP SIGNATURE-----

--Signature_Wed__9_Nov_2005_16_40_48_+0100_js5BqbFPnuJQ8yGw--

_______________________________________________
Hackmeeting mailing list
Hackmeeting@inventati.org
https://www3.autistici.org/mailman/listinfo/hackmeeting

Follow-Ups:
- Re: [Hackmeeting] backdoor
  - From: pbm <pbm@autistici.org>
- Re: [Hackmeeting] backdoor
  - From: renato gallo <renatogallo@katamail.com>

References:
- [Hackmeeting] backdoor
  - From: Marco Bertorello <marco@nosgoth.homelinux.org>
- Re: [Hackmeeting] backdoor
  - From: renato gallo <renatogallo@katamail.com>
- Re: [Hackmeeting] backdoor
  - From: Marco Bertorello <marco@nosgoth.homelinux.org>
- Re: [Hackmeeting] backdoor
  - From: filippo <filippo@elbalinux.org>

Indice

From	Marco Bertorello <marco@nosgoth.homelinux.org>
Date	Wed, 9 Nov 2005 16:40:48 +0100
Subject	Re: [Hackmeeting] backdoor