Re: intrusione (ecco a voi lo script)

e per concludere... ma non li beccano? Hanno una botnet ai loro comandi. E i server compromessi sono connessi al loro VPS. Fintanto si divertono a fare qualche attacco tipo dos a qualche sito ok... ma se dovessero fare attacchi più delicati... dopo tutto nello script c'è l'ip del loro server e pu

Re: intrusione (ecco a voi lo script)

> toglilo immediatamente dalla rete ... ci sono indirizzi IP con id/pwd tolto, grazie :-) stavo giusto dando un'occhiata ora... In ogni caso (per quanto possa essere dannoso) e allo stesso tempo invasivo è molto facile da rilevare (se me ne sono accorto io che non sono affatto un esperto...) Ric

Re: intrusione

Fri 12 July 2013, alle 20:29 +0200, Davide Prina ha scritto: > On 12/07/2013 09:39, Pol Hallen wrote: > > >c'è da dire che la password utente era "complessa" - quella di root un pò > >meno... > > ma complessa per chi? Per un essere umano o per un computer? > > https://xkcd.com/936/ > puoi anch

Re: intrusione

On 12/07/2013 09:34, Luca Costantino wrote: recente ed interessante articolo di arstechnica sul brute force delle password... http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/ ormai è davvero alla portata di *TUTTI* comprare hardware adatto allo scopo,

Re: intrusione

On 12/07/2013 09:39, Pol Hallen wrote: c'è da dire che la password utente era "complessa" - quella di root un pò meno... ma complessa per chi? Per un essere umano o per un computer? https://xkcd.com/936/ Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Perché microsoft cont

Re: intrusione

On 11/07/2013 23:38, Pol Hallen wrote: Oltretutto con i comandi dei bot (ego smisurato) mi ha fatto vedere i vari server che ha (o hanno) bucato: una decina (tra linux, freebsd, freenas, etc.) sono stato recentemente (1-2 mesi fa) ad un simposio sulla sicurezza nel campo IT. È stato detto che

Rootkit e file sospetti

ciao alla lista! ho fatto una scansione con rkhunter aggiornato e mi ha trovato i seguenti due warning: Checking /dev for suspicious file types [ Warning ] [19:51:09] Warning: Suspicious file types found in /dev/.udev/rules.d/root.rules: ASCII text [19:51:10]   Checking for hidden file

Re: PDF non leggibili

In data venerdì 12 luglio 2013 11:23:47, giulianc51 ha scritto: > Il giorno Thu, 11 Jul 2013 16:26:57 +0100 (BST) > > Gianfranco Costamagna ha scritto: > > - Messaggio originale - > > > > > Da: cosmo > > > A: debian-italian@lists.debian.org > > > Cc: > > > Inviato: Mercoledì 10 Luglio 2

Re: PDF non leggibili

Tue 09 July 2013, alle 21:17 +0200, Davide Prina ha scritto: > > In realtà quello che volevo sapere è se c'è un modo in Debian per > poter vedere un PDF bene anche se non si hanno i font installati... > Ho fatto delle prove, sulla mia debian squeezy/wheezy/jessie/sid/boooh Ecco i risultati: a

Re: intrusione (ecco a voi lo script)

Non sembra e cosi, infatti ho visto che usano questo script perl per fare dei ddos +++ #!/usr/bin/perl use Socket; use strict; if ($#ARGV != 3) { print "flood.pl\n\n"; print " port=0: use random ports\n"; print " size=0

Re: intrusione (ecco a voi lo script)

> >> >> Fatemi sapere che ne pensate! > > alla faccia... > E' una roba macchinosa. Sembra che servi a floodare delle macchine. In pratica ti ha usato come sorgente per un flood. Almeno sembra ... Lunedi lo faccio girare su una virtuale e vedo un po' cosa fa esattamente. -- Per REVOCARE

Re: intrusione (ecco a voi lo script)

Il 12/07/2013 17:09, Mr. P|pex ha scritto: dal pc del lavoro non riesco a vederlo... viene bloccato dal antivirus. Ipotizzo sia un rootkit conosciuto bye ho trovato questo mi sembra lo stesso... https://caffsec-malware-analysis.googlecode.com/svn/trunk/FlooderIRCBot/ -- () ascii ribbon c

Re: intrusione (ecco a voi lo script)

> dal pc del lavoro non riesco a vederlo... viene bloccato dal antivirus. > Ipotizzo sia un rootkit conosciuto se hai fretta lo crypto così l'antivirus non lo becca :-P Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubsc

Re: intrusione (ecco a voi lo script)

-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Il 12/07/2013 17:00, Pol Hallen ha scritto: > > Fatemi sapere che ne pensate! alla faccia... - -- Mario Vittorio Guenzi E-mail jcl...@tiscali.it Si vis pacem, para bellum ++ | Linux User #286828 | ++ -B

Re: intrusione (ecco a voi lo script)

dal pc del lavoro non riesco a vederlo... viene bloccato dal antivirus. Ipotizzo sia un rootkit conosciuto bye -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@li

Re: intrusione

Il giorno 12 luglio 2013 12:50, Pol Hallen ha scritto: > > Rinnovo i ringraziamenti a tutti :-) > > - logcheck (monitora cosa accade nel sistema) e invia un report di ciò > che è accaduto (tipo la creazione di un nuovo utente), cambio password, > cambio file di sistema, ecc. > io ho anche rkhunt

Re: intrusione (ecco a voi lo script)

Il giorno 12/lug/2013, alle ore 17:00, Pol Hallen ha scritto: > non ho ancora fatto in tempo a guardarlo bene ma si tratta di uno script > piuttosto "evoluto" :-) solo script? questo e' un sistema completo. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lis

Re: intrusione (ecco a voi lo script)

Ve lo mando in anteprima :-P non ho ancora fatto in tempo a guardarlo bene ma si tratta di uno script piuttosto "evoluto" :-) PS: ora che ho resettato la password di root, al riavvio me l'ha cambiata di nuovo.. Fatemi sapere che ne pensate! http://fuckaround.org/root2.tar Pol -- Per REVOCAR

Re: intrusione

Il giorno 12/lug/2013, alle ore 15:28, Luca Costantino ha scritto: > penso ci possa essere curiosità / interessa da parte di molti. a > questo punto, mettendo un bell'avviso gigante, potresti rendere > pubblico l'eventuale script/binario incriminato teoricamente proprio la condivisione delle i

Re: intrusione

penso ci possa essere curiosità / interessa da parte di molti. a questo punto, mettendo un bell'avviso gigante, potresti rendere pubblico l'eventuale script/binario incriminato luca -- Chiave pubblica http://luca.costantino.googlepages.com/luca.costantino.asc Prima di tutto vennero a prendere g

Re: intrusione

In data venerdì 12 luglio 2013 14:15:13, Walter Valenti ha scritto: > Sono curioso anche io Credo che i curiosi siano abbastanza da continuare a postare sulla lista piuttosto che in privato. saluti -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.deb

Re: intrusione

-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Il 12/07/2013 14:59, Pol Hallen ha scritto: > > sono curioso anch'io :-) spero non sia un programma compilato in > C... fosse bash sarebbe curioso vederlo. > > Pol > > se poi quando hai capito posto un riassunto del tutto credo faresti un favore a

Re: intrusione

- Messaggio originale - > Da: Pol Hallen > A: debian-italian@lists.debian.org > Cc: > Inviato: Venerdì 12 Luglio 2013 14:59 > Oggetto: Re: intrusione > >> se per caso hai ancora lo script che girava in cron me lo giri? >> sono curioso > > certo! Più tardi vado a re-installare il s

Re: intrusione

> se per caso hai ancora lo script che girava in cron me lo giri? > sono curioso certo! Più tardi vado a re-installare il sistema: faccio copia di /etc/ e /root e te lo mando sono curioso anch'io :-) spero non sia un programma compilato in C... fosse bash sarebbe curioso vederlo. Pol -- Per R

Re: intrusione

Rinnovo i ringraziamenti a tutti :-) Ovviamente: "mea culpa" ad aver messo password banali su un server di test (ho sottovalutato l'ambito sicurezza) - quello che è successo ieri mi servirà da lezione :-P se per caso hai ancora lo script che girava in cron me lo giri? sono curioso -- () asci

Re: intrusione

> E sugli ssh pubblici, solo accesso con chiave. Niente password ammesse. :-D grazie della precisazione! Saluti Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listm

Re: intrusione

> Rinnovo i ringraziamenti a tutti :-) > > Ovviamente: "mea culpa" ad aver messo password banali su un server di > test (ho sottovalutato l'ambito sicurezza) - quello che è successo ieri > mi servirà da lezione :-P > > Giusto in questo periodo (altra cosa paradossale) - su un server di > produz

Re: intrusione

Rinnovo i ringraziamenti a tutti :-) Ovviamente: "mea culpa" ad aver messo password banali su un server di test (ho sottovalutato l'ambito sicurezza) - quello che è successo ieri mi servirà da lezione :-P Giusto in questo periodo (altra cosa paradossale) - su un server di produzione ho implementa

Re: PDF non leggibili

Il giorno Thu, 11 Jul 2013 16:26:57 +0100 (BST) Gianfranco Costamagna ha scritto: > - Messaggio originale - > > > Da: cosmo > > A: debian-italian@lists.debian.org > > Cc: > > Inviato: Mercoledì 10 Luglio 2013 18:11 > > Oggetto: Re: PDF non leggibili > > > > > Gianfranco. > >

Re: intrusione

> > domanda, forse un pochino ot... esiste un qualche tipo di > autenticazione OTP per ssh open source? > Ma più che OTP, è molto più semplice settare l'utenticazione su ssh solo con chiave RSA. Walter -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lis

Re: intrusione

e se quello che google translate dice ha un senso, mi sentirei di dire che se la usassero di piu' forse non romperebbero tanto le scatole alla gente con queste cose... OT la traduzione che ho messo è suggerita da mia moglie... ed ha aggiunto il finale... comunque questo (direi rumeno dai canal

Re: PDF non leggibili

Il 11/07/2013 18:09, Gianfranco Costamagna ha scritto: [...] > > "Programming today is a race between software engineers striving to build > bigger and better idiot-proof programs, and the Universe trying to produce > bigger and better idiots. So far, the Universe is winning." - Rich Cook lol, qu

Re: intrusione

Il 12/07/2013 08:40, Mario Vittorio Guenzi ha scritto: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 e il motto serale del canale era: "pizda e facuta sa o dai..nu sa te duci cu ea in Rai. :)) !!!" e se quello che google translate dice ha un senso, mi sentirei di dire che se la usassero di

Re: intrusione

-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Il 12/07/2013 08:55, valerio ha scritto: > > parlando seriamente, ma è così facile allora entrare in un server? > come si può proteggere il sistema? non puoi. o meglio, nulla e' inviolabile quello che puoi e devi fare e' rendere la vita difficile al

Re: intrusione

> se ho capito bene l'accesso root in ssh e' inibito si c'è da dire che la password utente era "complessa" - quella di root un pò meno... > e quindi il > bruteforce lo ha fatto sull'utente che ha la password complessa che > non ha cambiato. esatto > a) quanto tempo ci ha messo chi lo sà? ave

Re: intrusione

Il 12 luglio 2013 09:13, mauro ha scritto: > b: per quanto la password possa essere complessa, il brute force e' veramente > un dito in un occhio: quindi giu' di fail2ban stretto: al terzo tentativo > stai fuori 2 giorni e per far contento l'hacker di turno, cambio periodico > della password s

Re: intrusione

Il giorno 12/lug/2013, alle ore 08:55, valerio ha scritto: >> faccio un aggiornamento rapido della situazione (giusto per condividere >> la paradossale situazione): >> >> mi sono connesso con irc all'ip e c'erano due canali, entrato nel canale >> chmod ho beccato sto "Gabryel" che è il tizio c

Re: intrusione

-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Il 11/07/2013 23:38, Pol Hallen ha scritto: > faccio un aggiornamento rapido della situazione (giusto per > condividere la paradossale situazione): > > mi sono connesso con irc all'ip e c'erano due canali, entrato nel > canale chmod ho beccato sto "Ga

Re: intrusione

-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Il 11/07/2013 21:06, Pol Hallen ha scritto: > chiedo aiuto agli esperti :-) p.s. so che non serve a nulla ma una mail ad ab...@digiblablabla.bla spiegando che cosa e' successo sarebbe da fare, probabilmente ne ricevono un tot e vanno in /dev/null di d