--Signature_Wed__9_Nov_2005_17_34_42_+0100_O.Ms3okZRD0qxPwd
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: quoted-printable
In data Wed, 09 Nov 2005 16:57:36 +0100, sand <sandman@autistici.org>
scrisse:
> Per il come, potrebbe essere una password sniffata, un utente senza
> password, una vulnerabilita' di qualche demone; dovresti guardare i
> log, ma potrebbero essere stati "puliti". Magari qualche core file in
> giro.
hmmm ai core non ci avevo pensato...
=20
> Riguardo i cambiamenti, senza un checksum dei binari fatto PRIMA
> dell'intrusione, e' difficile capire cosa sia stato modificato;
i checksum sono a posto. faccio sempre gli md5 di *alcuni* binari subito
dopo averli installati
> potresti controllare la presenza di file strani in /dev/ o in altre
> directory, ma ci sono fin troppi modi per nascondersi in un
> filesystem.=20
neanche a /dev/ avevo pensato...
> Nel frattempo assicurati di eseguire i controlli sulla
> macchina usando un kernel nuovo o magari montando i dischi su un'altra
> macchina.
La prima cosa che ho fatto... un bel kernel nuovo! e appena potr=F2
togliere la macchina, far=F2 il controllo dei dischi off-line
ciao,
--=20
Marco Bertorello System Administrator
Linux Registered User #319921 marco@bertorello.ns0.it
Raccogliere dati =E8 un passo verso la saggezza. Ma condividerli fa
nascere una comunit=E0 -- da spot IBM/Linux
--Signature_Wed__9_Nov_2005_17_34_42_+0100_O.Ms3okZRD0qxPwd
Content-Type: application/pgp-signature
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
iD8DBQFDciUlMEUv215HZGARAukTAJ9WeYf+myk/TDTBcl4GJgdZPsn96gCfcF3i
BOG5I1p99SwM9eZI017XLtA=
=Glmt
-----END PGP SIGNATURE-----
--Signature_Wed__9_Nov_2005_17_34_42_+0100_O.Ms3okZRD0qxPwd--
_______________________________________________
Hackmeeting mailing list
Hackmeeting@inventati.org
https://www3.autistici.org/mailman/listinfo/hackmeeting
![[<--]](/icons/prev.gif){kind=icon}
![[-->]](/icons/next.gif){kind=icon}