Il giorno 08 Luglio 2009 13.43, pac<[email protected]> ha scritto: > Il giorno 08 Luglio 2009 12.19, Carlo<[email protected]> ha scritto: >> >>> Luigi di Lazzaro ha scritto: >>>>> >>>>> pac ha scritto: >>>>> Dopo aver eliminato tutto e cambiata porta ssh questa mattina ho >>>>> scoperto nuova violazione. >>>>> Il log dice >>>>> Jul 8 08:04:58 sshd[23885]: Accepted password for root from >>>>> 79.33.45.194 port 40063 ssh2 >>>>> Jul 8 08:04:59 arpaca sshd(pam_unix)[23885]: session opened for user >>>>> root by (uid=0) >>>>> Allora la porta che ho cambiato non la 40063 e comunque questa non è >>>>> aperta nel router x ssh, anzi non è aperta per nulla. >>>>> Quindi volevo sapere cosa è successo secondo voi e come fare ? >>>>> >>>> >>>> Non permetttere l'accesso a root via ssh. C'e' un'apposita opzione nel >>>> file di configurazione /etc/sshd_config >>>> PermitRootLogin no >>>> di default e' su yes >>>> >>>> Luigi >>>> >>>> >> >> Completo scrivendo che un bel chkrootkit , rkhunter, fcheck, >> un bel giro con clamav, un bel netstat -putan per vedere cosa >> c'è che ascolta dovrebbe bastare :) >> >> >> magari guardati anche la history dei comandi per sapere cosa sta facendo >> visto che molto intelligentemente chi accede al server non si premura di >> cancellare >> i log >> >> >> > I log sono stati cancellati, ma dopo essermi scottato ho attivato un > server di log su cui comunque i log sono stati duplicati e rimasti > integri > >> >> Quello che mi domando è E' riuscito a entrare come root, può fare quello che vuole, come mai si fa "nasare" che è successo qualcosa perché a due utenti non viene più riconosciuta la password ?
>> >> >> -- >> Per REVOCARE l'iscrizione alla lista, inviare un email a >> [email protected] con oggetto "unsubscribe". Per >> problemi inviare un email in INGLESE a [email protected] >> >> To UNSUBSCRIBE, email to [email protected] >> with a subject of "unsubscribe". Trouble? Contact >> [email protected] >> >> > -- Per REVOCARE l'iscrizione alla lista, inviare un email a [email protected] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [email protected] To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
