mi hanno bucato la debian?

sopadj1 · 12-12-2004, 11:47

salve gente! ieri notte stavo navigando su internet quanto mi accorgo che l'hard disk del mio portatile inizia a fruguliare....allora mi sono detto

> orca vacca, apt ha gia finito di scaricarsi i 17 mb e sta' analizzando il db? com'è possibile? scarico a 2k/s e ho iniziato 5 minuti fa?

vado a vede ed infatti stava ancora scaricando, ma allora mi sono detto: chi sta utilizzando l'hard disk?

# nmap localhost

0 porte aperte

# ps aux | less

e

# top

mi hanno sconvolto

vi erano in esecuzione, da root, i comandi:

ls
dpkg-query
awk
sed

e tanti altri che io certamente non avevo mandato in esecuzione....

do un

# finger

ma ci sono solo io, a quanto pare

allora mi sono disconnesso, e aspettando 5 minuti, questi processi non si fermavano....allora ho provato a killarlo 1 ma

VVoVe: non me lo killava! mi diceva che il processo non esisteva? ho provato 3 volte e sempre la stessa cosa!!!

a questo punto 1

# halt

e tutti a nanna!

adesso sto facendo 1

# chkrootkit
# tiger

secondo voi cosa è successo?

cosa potrei vedere?

**andy caps** · 12-12-2004, 11:51

dai un last per vedere gli accessi

**Ikitt** · 12-12-2004, 11:53

Originariamente inviato da sopadj1
# nmap localhost

Inutile nel 99% dei casi, gia` meglio una cosa tipo

codice:

nmap <IP_INTERFACCIA_DI_RETE_ESTERNA>

[...]
secondo voi cosa è successo?
cosa potrei vedere?

C'e` qualcosa (di nuovo, magari) tra i cronjob?

sopadj1 · 12-12-2004, 11:57

Originariamente inviato da andy caps
dai un last per vedere gli accessi

ecco, mi è successo ieri sera sul tardi quindi mi sono loggato questa mattina dopo mezzanotte

codice:

ospite   :0                            Sun Dec 12 10:32   still logged in
reboot   system boot  2.6.8.1-kanotix- Sun Dec 12 10:30          (00:23)
reboot   system boot  2.6.8.1-kanotix- Sun Dec 12 10:26          (00:00)
ospite   :0                            Sun Dec 12 00:05 - down   (01:38)
ospite   :0                            Sat Dec 11 23:57 - 00:05  (00:08)
ospite   :0                            Sat Dec 11 23:50 - 23:56  (00:06)
ospite   :0                            Sat Dec 11 10:32 - 23:49  (13:17)
reboot   system boot  2.6.8.1-kanotix- Sat Dec 11 10:31          (15:12)
reboot   system boot  2.6.8.1-kanotix- Fri Dec 10 20:50          (00:02)
ospite   :0                            Fri Dec 10 17:56 - crash  (02:54)
reboot   system boot  2.6.8.1-kanotix- Fri Dec 10 17:55          (02:58)
ospite   :0                            Fri Dec 10 15:06 - down   (00:39)
reboot   system boot  2.6.8.1-kanotix- Fri Dec 10 15:05          (00:40)
ospite   :0                            Fri Dec 10 14:46 - crash  (00:19)

@ ikitt: no crontab for ospite and for root

**Ikitt** · 12-12-2004, 11:59

Originariamente inviato da sopadj1
@ ikitt: no crontab for ospite and for root

Mea culpa, mi son spiegato male.
Intendevo di controllare il contenuto di /etc/cron*

**andy caps** · 12-12-2004, 12:03

a me sembra tutto normale

sopadj1 · 12-12-2004, 12:16

Originariamente inviato da Ikitt
Mea culpa, mi son spiegato male.
Intendevo di controllare il contenuto di /etc/cron*

ecco 1 cosa strana che prima nn avevo notato

codice:

0 * * * *      root    test -x /usr/sbin/tigercron && /usr/sbin/tigercron -q

forse era in esecuzione tiger e forse era proprio lui a far fare rumore all' hard disk e ad avviare dei processi figli come find, sed, awk, etc....

Discussione: mi hanno bucato la debian?

Strumenti discussione

Ricerca discussione

Visualizza

mi hanno bucato la debian?

Re: mi hanno bucato la debian?

Permessi di invio