...mi sto davvero facendo una cultura (sono un newbie, ma qualcosa a furia di problemi imparo)...
E' da un po' che il mio server (un VPS in una webfarm, che controllo via SSH) riceve visite non autorizzate (nè apprezzate). Prima via SSH con un attacco bruteforce (anche se ho una pw così complicata che non capisco come diavolo abbiano fatto a scoprirla), forse prima ancora con una vulnerabilità nel codice PHP. Durante queste visite hanno creato un paio di users, che ho prontamente eliminato.
Ora invece riescono ad accedere (credo) mettendo eth0 in promiscuous mode (qualsiasi cosa ciò significhi): questo è un estratto da /var/log/message
codice:
Feb 17 00:48:42 paperogiallo kernel: device eth0 entered promiscuous mode
Feb 17 00:50:38 paperogiallo kernel: ip_conntrack: table full, dropping packet.
Feb 17 00:50:38 paperogiallo last message repeated 9 times
Feb 17 00:50:49 paperogiallo kernel: printk: 7 messages suppressed.
Feb 17 00:50:49 paperogiallo kernel: ip_conntrack: table full, dropping packet.
Feb 17 00:50:49 paperogiallo kernel: ip_conntrack: table full, dropping packet.
Feb 17 00:50:53 paperogiallo kernel: printk: 363 messages suppressed.
Feb 17 00:50:53 paperogiallo kernel: ip_conntrack: table full, dropping packet.
Feb 17 00:51:11 paperogiallo kernel: printk: 210 messages suppressed.
Da quel che ho capito (girando qualche forum in inglese), è una vulnerabilità del kernel (2.6), ma essendo una macchina che fa da mail e web server, vorrei evitare di aggiornarlo (ricompilarlo? è giusto?) perchè, non avendolo mai fatto, immagino sia una cosa lunga e complicata (e poi non so se si può fare da remoto).
La cosa strana è che ho scoperto quest'ultima intrusione perchè collegandomi via ssh ho trovato nella bash_history dei messaggi che non avevo digitato io, eppure da /var/log/secure non risultano accessi da IP diversi dai miei (nè via ssh, nè via ftp). E' possibile che sia anche il Bind (9.2.4 chrooted) ad avere una parte di responsabilità?
Mi scuso per la lunghezza del post, ho fornito tutte le info che avevo...
Grazie a tutti
_YD