sergiuzzo migra a gentoo :P
-
-
GRANDE!!!!!Originariamente Scritto da Sergio
speriamo bene!Commenta
-
allora sarebbe utile sapere che vers di apache avevi su cmq
basta cercare sui giusti forum per vedere se fa parte di una azione di gruppo o un singolo burloneLast edited by corlis1; 02-05-2006, 23:12:32.Perle !!!
Commenta
-
Hanno fatto il defacing anche ad almeno un altro server nell'ambito del BB, sembra la moda del BB in questo periodo.Originariamente Scritto da corlis1
Ora ad ogni modo ho "chiuso" il mio server, ho cambiato le password, esagerando con i caratteri, poi ho stretto un bel pò i rubinetti a servizi e firewall.. bho, tocchiamoci le palle
Commenta
-
hmm stai attento,potrebbero aver usato qualche rootkits e aver installato una bella backdoorOriginariamente Scritto da SergioHanno fatto il defacing anche ad almeno un altro server nell'ambito del BB, sembra la moda del BB in questo periodo.
Ora ad ogni modo ho "chiuso" il mio server, ho cambiato le password, esagerando con i caratteri, poi ho stretto un bel pò i rubinetti a servizi e firewall.. bho, tocchiamoci le palle
cmq hai capito da dove sono entrati?da ssh?
se mi passi i logs ti posso aiutare..
ps.installa una distro tipo debian , ci guadagni in sicurezza
Commenta
-
Grazie mille, ho questo sospetto, non sono sicuro SSH o vsftpd, ho anche visto partire un processo con "cron" e non mi piace proprio.Originariamente Scritto da Smasherhmm stai attento,potrebbero aver usato qualche rootkits e aver installato una bella backdoor
cmq hai capito da dove sono entrati?da ssh?
se mi passi i logs ti posso aiutare..
:
Se riesco ti allego altri file, questo è una parte di log : http://www.bodyweb.it/forums/showpos...6&postcount=33
Commenta
-
da li non si capisce molto,cmq sembra che abbiano disattivato i log di sistema (syslog-ng),oltre a provare un brute-force su vsftpdOriginariamente Scritto da Sergio
insomma degli script kiddies,sono sicuro che hanno usano un rootkit per pulire le tracce(e magari per installare qualche backdoor)...
prova a controllare la /root/.bash_history,anche se a meno che non siano dei polli è probabile che l'abbiano cancellata..
Commenta
-
il flie index.php che hanno sostituito difatti era fatto con Frontpage, azz un attacco così bello e poi usano Frontpage per fare l'Html, mi sono cadute le palle, sono ragazzetti che usano programmi già pronti.Originariamente Scritto da Smasher
Mi hanno anche parlato di knock daemons che rispondono "chiuso" alle chiamate sulle porte a meno che la chiamata non sia in codice da un altro programma.
Commenta
-
Giusto. Ma se sono bravi forte hanno pure eliminato tutte le tracce e lasciato solo quelle che volevano.Originariamente Scritto da Smasherhmm stai attento,potrebbero aver usato qualche rootkits e aver installato una bella backdoor
cmq hai capito da dove sono entrati?da ssh?
se mi passi i logs ti posso aiutare..
ps.installa una distro tipo debian , ci guadagni in sicurezza
In ogni caso, ti suggerisco di leggere quotidianamente o + spesso possibile i siti che informano sulle falle e i relativi problemi di sicurezza.
Come per esempio http://www.securityfocus.com/.
Cmq....nn mi preoccuperei tanto i defacer hanno dei tool che "scorazzano" per la rete alla ricerca di possibili "falle"
Ciao,
RolloCommenta
Commenta