Molti forse sanno cos'era milw0rm, il sito era un enorme database contenente migliaglia di worm con il codice di attivazione, non è mia intenzione parlare di questo, ma di un worm chiamato appunto milw0rm e che vorrei eliminare da un server senza dover fare tavola rasa del sistema operativo.
Qualcuno conosce un modo per evitare tutto questo?
Considerate che ho già riscontrato almeno un accesso via SSH che nessuno ha fatto.
Ti fidi ad utilizzare ancora una macchina, tutto sommato, compromessa ?
ciao
slack? smack!
No, non posso fidarmi, ma devo, purtroppo è una macchina di produzione con molti clienti su che non posso chiudere all'improvviso (tu mandi email a raffica che non leggono mai, poi li chiudi mezz'ora e sono lì a telefonarti che è tutto uno schifo, che non funziona nulla!) per chiuderla dovrei per forza aspettare dei giorni per attendere delle risposte che non arriveranno
Eppoi vorrei anche beccare l'ingresso di questo script, per ora è stato trovato in una sottocartella di uno non nuovo a questi scherzetti, ma al solito nega arrivando a dire che script del genere ce li mettiamo noi
Insomma sono nei casini, cercando su Internet sembra che quel worm sia l'ultimo casino che compromette un activex della M$ ma come faccio ad esserne sicuro se non vedo chi e cosa ha avuto accesso via SSH?
All'interno dell'account sospetto da cui parte il tutto ho trovato r57shell.php (anche se lui l'ha rinominato con le iniziali del suo nome e cognome :berto: )
Cosa fa il file se lanciato? Bè permette di defacciare Joomla in una vecchia versione, purtroppo il sito in questione è realizzato con quella versione di joomla, ma non ci posso fare nulla se i clienti sono idioti
hai scritto per caso anche sulla mailing list debian?Originariamente inviato da Marcolino's
No, non posso fidarmi, ma devo, purtroppo è una macchina di produzione con molti clienti su che non posso chiudere all'improvviso (tu mandi email a raffica che non leggono mai, poi li chiudi mezz'ora e sono lì a telefonarti che è tutto uno schifo, che non funziona nulla!) per chiuderla dovrei per forza aspettare dei giorni per attendere delle risposte che non arriveranno
Eppoi vorrei anche beccare l'ingresso di questo script, per ora è stato trovato in una sottocartella di uno non nuovo a questi scherzetti, ma al solito nega arrivando a dire che script del genere ce li mettiamo noi
Insomma sono nei casini, cercando su Internet sembra che quel worm sia l'ultimo casino che compromette un activex della M$ ma come faccio ad esserne sicuro se non vedo chi e cosa ha avuto accesso via SSH?
in ogni caso la soluzione, clienti o meno, è piallare completamente la macchina e reinstallarla
Non dobbiamo trascurare la probabilità che il costante inculcare la credenza in Dio nelle menti dei bambini possa produrre un effetto così forte e duraturo sui loro cervelli non ancora completamente sviluppati, da diventare per loro tanto difficile sbarazzarsene, quanto per una scimmia disfarsi della sua istintiva paura o ripugnanza del serpente.
Concordo e stiamo prendendo la decisione più drastica,cioè quella di piallare tutto, però prima mi sto divertendo a fare il detective, ho già beccata parecchia roba proveniente da quell'account, per ora sospeso ;-)
Pialla o no ce lo dobbiamo inciapetar per benino.
Perchè non la rendi macchina virtuale?
Tra snapshot e compagnia bella sono facilmente gestibili situazioni del genere.
Volendo anche le migrazioni diventano facilmente controllabili.
Ciao
( http://www.milw0rm.com/ è ancora un database di chi piu ne ha piu ne metta... )
There are two kinds of researchers:
those that have implemented something and those that have not.
The latter will tell you that there are 142 ways of doing things
and that there isn't consensus on which is best.
The former will simply tell you that 141 of them don't work.
Permessi di invio
Rispondi quotando