Ciao,
Premetto che non sono molto esperto tuttavia spero di darti buon
consiglio a riguardo:
Che kernel usi? Se non ricordi male tempo fà ci fù un bug nel kernel
Prova a fare qualche check forse vi era già stato un precedente accesso
e avevano lasciato un backdoor
Controlla che tutti i servizi installati siano up-to-date
Vedi se nel /etc/passwd ci sono utenti che non hai creato te, magari
sono entrati tramite quello e hanno usato qualche privilege escalation
Il 11/07/2013 21:06, Pol Hallen ha scritto:
chiedo aiuto agli esperti :-)
siccome non riuscivo più a fare su, con last scopro:
root pts/0 31.14.106.154 Mon Jul 1 12:28 - 12:28 (00:00)
root pts/0 31.14.106.154 Mon Jul 1 09:43 - 09:45 (00:01)
quell'ip arriva dalla romania... ora:
in ssh, è negato l'accesso root, la password utente (vi è un solo
utente) è complessa (strano infatti non l'abbia cambiata).
E' una macchina virtuale dentro una lan: in 3 secondi ripristino lo
snapshot (quindi non ho problemi) mi preoccupa però in che modo il
Signor Romania possa essere entrato. Nei logo vedo anche:
Jul 11 06:26:01 server5 /USR/SBIN/CRON[4522]: (root) CMD
(/root/Agent/update>/dev/null 2>&1)
sembra un comando eseguito da cron che aggiorna qualcosa
idee? grazie!
Pol
--
http://miriodev.net
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org
To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51df0322.7030...@miriodev.net
