Messaggio 00121 di 130

From Marco Bertorello <marco@nosgoth.homelinux.org>

Date Wed, 9 Nov 2005 17:07:25 +0100

Subject Re: [Hackmeeting] backdoor

--Signature_Wed__9_Nov_2005_17_07_25_+0100_f_hsnxO5Re441Wb_
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: quoted-printable

In data Wed, 09 Nov 2005 16:49:35 +0100, renato gallo
<renatogallo@katamail.com> scrisse:

> ovvio che visualizzano il tuo come solo utente ad aver fatto il login
> se la macchina =E8 kittata e minimo Malign ha cloackato i processi :D
> per l'utente shadow segui la pista se Malign ha lasciato tracce le
> trovi di quell'utente anche se magari il problema sta proprio nel
> login se ha messo ulogin la macchina =E8 spacciata (vedi cambiare la
> pass =3D inutile). Dove esiste una backdoor ne esiste una di sicurezza,
> be paranoid and reinstall, se Malign ha avuto tutto il tempo di
> kittare le tracce rintracciabili (uh che bel gioco di parole) sono ben

Si, il fatto di reinstallare, ripeto, =E8 cosa certa... per=F2 questa storia
di ulogin mi incuriosisce, far=F2 ricerche anche in questo senso...

> poche. Un modo davvero bastardo sarebbe di includere quella macchina
> in una honeypot con un'altra macchina fatta apposta per sniffare tutto
> quello che passa tra la rete e la macchina bucata magari con i log
> ridirezionati a printer, mentre nel frattempo ne metti in produzione
> un'altra (slol)*

gi=E0 fatto... lo scorso week end la macchina =E8 stata sotto hub assieme ad
una live che tcpdumpava tutto su disco... morale? ho 600 MB di dump che
ethereal non mi apre :-(

--=20
Marco Bertorello 		System Administrator
Linux Registered User #319921	marco@bertorello.ns0.it

"Gli utenti Windows non sanno niente degli standard semplicemente perche' s=
ono utenti normali, non e' che sono mongoli." - Naf=20

--Signature_Wed__9_Nov_2005_17_07_25_+0100_f_hsnxO5Re441Wb_
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFDch7AMEUv215HZGARAjx9AJ41CfIGPxybkiCpk+1ktqPnca5EIACdEYdV
k+7EcsWJumtTJWBVOZax/Nc=
=Cr09
-----END PGP SIGNATURE-----

--Signature_Wed__9_Nov_2005_17_07_25_+0100_f_hsnxO5Re441Wb_--

_______________________________________________
Hackmeeting mailing list
Hackmeeting@inventati.org
https://www3.autistici.org/mailman/listinfo/hackmeeting

References:
- [Hackmeeting] backdoor
  - From: Marco Bertorello <marco@nosgoth.homelinux.org>
- Re: [Hackmeeting] backdoor
  - From: renato gallo <renatogallo@katamail.com>
- Re: [Hackmeeting] backdoor
  - From: Marco Bertorello <marco@nosgoth.homelinux.org>
- Re: [Hackmeeting] backdoor
  - From: filippo <filippo@elbalinux.org>
- Re: [Hackmeeting] backdoor
  - From: Marco Bertorello <marco@nosgoth.homelinux.org>
- Re: [Hackmeeting] backdoor
  - From: renato gallo <renatogallo@katamail.com>

Indice

From	Marco Bertorello <marco@nosgoth.homelinux.org>
Date	Wed, 9 Nov 2005 17:07:25 +0100
Subject	Re: [Hackmeeting] backdoor