PDA

Visualizza la versione completa : mi hanno bucato la debian?


sopadj1
12-12-2004, 10:47
salve gente! ieri notte stavo navigando su internet quanto mi accorgo che l'hard disk del mio portatile inizia a fruguliare....allora mi sono detto

> orca vacca, apt ha gia finito di scaricarsi i 17 mb e sta' analizzando il db? com' possibile? scarico a 2k/s e ho iniziato 5 minuti fa?

vado a vede ed infatti stava ancora scaricando, ma allora mi sono detto: chi sta utilizzando l'hard disk?

# nmap localhost

0 porte aperte

# ps aux | less

e

# top

mi hanno sconvolto


vi erano in esecuzione, da root, i comandi:

ls
dpkg-query
awk
sed

e tanti altri che io certamente non avevo mandato in esecuzione....

do un

# finger

ma ci sono solo io, a quanto pare :(

allora mi sono disconnesso, e aspettando 5 minuti, questi processi non si fermavano....allora ho provato a killarlo 1 ma :oVVoVe: non me lo killava! mi diceva che il processo non esisteva? ho provato 3 volte e sempre la stessa cosa!!!

a questo punto 1

# halt

e tutti a nanna!

adesso sto facendo 1

# chkrootkit
# tiger

secondo voi cosa successo?

cosa potrei vedere?

andy caps
12-12-2004, 10:51
dai un last per vedere gli accessi

Ikitt
12-12-2004, 10:53
Originariamente inviato da sopadj1
# nmap localhost

Inutile nel 99% dei casi, gia` meglio una cosa tipo


nmap <IP_INTERFACCIA_DI_RETE_ESTERNA>


[...]
secondo voi cosa successo?
cosa potrei vedere?
C'e` qualcosa (di nuovo, magari) tra i cronjob?

sopadj1
12-12-2004, 10:57
Originariamente inviato da andy caps
dai un last per vedere gli accessi

ecco, mi successo ieri sera sul tardi quindi mi sono loggato questa mattina dopo mezzanotte



ospite :0 Sun Dec 12 10:32 still logged in
reboot system boot 2.6.8.1-kanotix- Sun Dec 12 10:30 (00:23)
reboot system boot 2.6.8.1-kanotix- Sun Dec 12 10:26 (00:00)
ospite :0 Sun Dec 12 00:05 - down (01:38)
ospite :0 Sat Dec 11 23:57 - 00:05 (00:08)
ospite :0 Sat Dec 11 23:50 - 23:56 (00:06)
ospite :0 Sat Dec 11 10:32 - 23:49 (13:17)
reboot system boot 2.6.8.1-kanotix- Sat Dec 11 10:31 (15:12)
reboot system boot 2.6.8.1-kanotix- Fri Dec 10 20:50 (00:02)
ospite :0 Fri Dec 10 17:56 - crash (02:54)
reboot system boot 2.6.8.1-kanotix- Fri Dec 10 17:55 (02:58)
ospite :0 Fri Dec 10 15:06 - down (00:39)
reboot system boot 2.6.8.1-kanotix- Fri Dec 10 15:05 (00:40)
ospite :0 Fri Dec 10 14:46 - crash (00:19)




@ ikitt: no crontab for ospite and for root

Ikitt
12-12-2004, 10:59
Originariamente inviato da sopadj1
@ ikitt: no crontab for ospite and for root

Mea culpa, mi son spiegato male.
Intendevo di controllare il contenuto di /etc/cron*

andy caps
12-12-2004, 11:03
a me sembra tutto normale

sopadj1
12-12-2004, 11:16
Originariamente inviato da Ikitt
Mea culpa, mi son spiegato male.
Intendevo di controllare il contenuto di /etc/cron*

ecco 1 cosa strana che prima nn avevo notato



0 * * * * root test -x /usr/sbin/tigercron && /usr/sbin/tigercron -q


forse era in esecuzione tiger e forse era proprio lui a far fare rumore all' hard disk e ad avviare dei processi figli come find, sed, awk, etc.... :confused:

Loading