Re: Chkrootkit e risultati

Ottavio Campana ha scritto: Davide Prina wrote: ora io non so come si possa fare (non l'ho mai fatto ... almeno credo), ma penso che devi sapere un po' di cose (porta che usa) ... tante volte io installo cose solo per vedere come funzionano o risolvono un dato problema e non mi interessa saper

Re: Chkrootkit e risultati

ven 24 giugno 2005, alle 9:16 (GMT+0200), Ottavio Campana ha scritto: > Davide Prina wrote: > > Ottavio Campana ha scritto: > [...+ > >> lo configuri perche' si bindi sull'interfaccia di loopback. > > ora io non so come si possa fare (non l'ho mai fatto ... almeno credo), > > ma penso che devi sape

Re: Chkrootkit e risultati

Davide Prina wrote: > Ottavio Campana ha scritto: >> Davide Prina wrote: >>> * permette di tenere il log dell'attività di rete e quindi per esempio >>> scoprire su che porta chiusa ci sono gli attacchi ... scoprire se >>> qualcuno sta cercando di bucarti la macchina >> >> su una porta dove non gira

Re: Chkrootkit e risultati

gio 23 giugno 2005, alle 20:54 (GMT+0200), Davide Prina ha scritto: > [...] > ora io non so come si possa fare (non l'ho mai fatto ... almeno credo), > ma penso che devi sapere un po' di cose (porta che usa) ... tante volte > io installo cose solo per vedere come funzionano o risolvono un dato >

Re: Chkrootkit e risultati

Ottavio Campana ha scritto: Davide Prina wrote: * permette di tenere il log dell'attività di rete e quindi per esempio scoprire su che porta chiusa ci sono gli attacchi ... scoprire se qualcuno sta cercando di bucarti la macchina su una porta dove non gira nessun servizio? Cosa deve bucare,

Re: Chkrootkit e risultati

Davide Prina wrote: >> >> perche? Se il computer e' configurato bene le porte sono chiuse >> comuqnue, visto che il software che non serve va disinstallato. > > > non sono neppure io un esperto, ma mi vengono in mente alcuni casi in > cui un firewall può essere utile: > > * permette di tenere il

Re: Chkrootkit e risultati

Ottavio Campana ha scritto: Lorenzo wrote: Beh certo però è cosa buona e giusta averne uno e tenere le porte che nn servono chiuse no?! perche? Se il computer e' configurato bene le porte sono chiuse comuqnue, visto che il software che non serve va disinstallato. non sono neppure io un es

Re: Chkrootkit e risultati

Lorenzo wrote: > On 6/22/05, *Ottavio Campana* <[EMAIL PROTECTED] > > wrote: > > > Insomma, servono per la diagnostica degli instradamenti. > > > questo lo sapevo, però perchè alcuni bloccano vari tipi di pack icmp? per il timore di subire un dos. Ma tanto il dos

Re: Chkrootkit e risultati

Lorenzo wrote: > > > On 6/22/05, *Ottavio Campana* <[EMAIL PROTECTED] > > wrote: > > 1) bloccare gli icmp e' una vaccata > > > Nel senso che nn serve a niente? Perchè? perche' oltre ai ping negli icmp ci sono tutta una serie di possibili informazioni passabili al

Re: Chkrootkit e risultati

On 6/22/05, Ottavio Campana <[EMAIL PROTECTED]> wrote: 1) bloccare gli icmp e' una vaccata Nel senso che nn serve a niente? Perchè? ciao Lorenzo

Re: Chkrootkit e risultati

Marco Giusti wrote: >>>iptables non chiude porte e basta, fa molto di piu'. alcuni problemi >>>legati alla sicurezza non sono causati dal software, ma dai protocolli. >> >>discutiamone. Cita qualche esempio per piacere. > > non sono un esperto di reti ne di iptables, ho solo letto qualcosa qua e >

Re: Chkrootkit e risultati

On Wed, Jun 22, 2005 at 10:27:11AM +0200, Ottavio Campana wrote: > Marco Giusti wrote: > >>Detto questo: non fa male, ma imho non e' il punto primario su cui > >>basare la sicurezza. La sicurezza secondo me parte da una installazione > >>(e relativa disinstallazione) corretta del software. > > > >

Re: Chkrootkit e risultati

Marco Giusti wrote: >>Detto questo: non fa male, ma imho non e' il punto primario su cui >>basare la sicurezza. La sicurezza secondo me parte da una installazione >>(e relativa disinstallazione) corretta del software. > > > iptables non chiude porte e basta, fa molto di piu'. alcuni problemi > le

Re: Chkrootkit e risultati

On Wed, Jun 22, 2005 at 08:52:46AM +0200, Ottavio Campana wrote: > Detto questo: non fa male, ma imho non e' il punto primario su cui > basare la sicurezza. La sicurezza secondo me parte da una installazione > (e relativa disinstallazione) corretta del software. iptables non chiude porte e basta,

Re: Chkrootkit e risultati

Lorenzo wrote: > > > On 6/22/05, *Ottavio Campana* <[EMAIL PROTECTED] > > wrote: > > > > Mi spiego prima di dare origine a flame inutili: non e' che il firewall > sia la soluzione di tutti i mali, se cosi' fosse windows sarebbe sicuro. > > Beh certo però è co

Re: Chkrootkit e risultati

On 6/22/05, Ottavio Campana <[EMAIL PROTECTED]> wrote: Mi spiego prima di dare origine a flame inutili: non e' che il firewallsia la soluzione di tutti i mali, se cosi' fosse windows sarebbe sicuro. Beh certo però è cosa buona e giusta averne uno e tenere le porte che nn servono chiuse no?! Più por

Re: Chkrootkit e risultati

Lorenzo wrote: > On 6/21/05, *InSa* <[EMAIL PROTECTED] > > wrote: > > Qualche suggerimento? > > > la prossima volta usa un firewall! ;) imho questo ha poco senso. Mi spiego prima di dare origine a flame inutili: non e' che il firewall sia la soluzione di tutti i m

Re: Chkrootkit e risultati

InSa wrote: > Salve a tutti, > > sul mio serverino casalingo (sarge) oggi ho eseguito chkrootkit e mi son > ritrovato con questo risultato: > > Checking `bindshell'... INFECTED (PORTS: 4000) fuser 4000/tcp ti ritorna un pid e poi fai ps awx | grep pid_ritornato -- Non c'è più forza nella no

Re: Chkrootkit e risultati RISOLTO

On Tue, 21 Jun 2005 17:17:14 +0200 Lorenzo <[EMAIL PROTECTED]> wrote: > a partegli scherzi, nei log che ip hai: privati stile 1.x.x.x oppure > pubblici? Ehm, sono un cone (ogni tanto bisogna ricordarselo ;) : faccio alcune prove (fermo-avvio processi) per vedere che processo occupa quella p

Re: Chkrootkit e risultati

Alle 15:29, martedì 21 giugno 2005, InSa ha scritto: > Checking `bindshell'... INFECTED (PORTS:  4000) È sicuramente un falso positivo di mldonkey. Dato che lo utilizzi, ogni tanto leggi la ML di chkrootkit http://marc.theaimsgroup.com/?l=chkrootkit-users&w=2&r=1&s=checking+bindshell&q=b saluti -

Re: Chkrootkit e risultati

On Tue, 21 Jun 2005, InSa wrote: Checking `bindshell'... INFECTED (PORTS: 4000) 4000/tcp open remoteanything Eh, appunto. Ma non riesco a capire che processo apre quella porta. fuser -v 4000/tcp bye CDF -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Tr

Re: Chkrootkit e risultati

> Eh, appunto. Ma non riesco a capire che processo apre quella porta. # lsof -i :4000 -- Sandro Tosi (aka Morpheus, matrixhasu) My (little) site: http://matrixhasu.altervista.org/index.html

Re: Chkrootkit e risultati

On 6/21/05, InSa <[EMAIL PROTECTED]> wrote: Qualche suggerimento? a partegli scherzi, nei log che ip hai: privati stile 1.x.x.x oppure pubblici? (immagino che nn ci sia niente nei log cmq...) ciao Lorenzo

Re: Chkrootkit e risultati

Scrive InSa <[EMAIL PROTECTED]>: > Salve a tutti, > > sul mio serverino casalingo (sarge) oggi ho eseguito chkrootkit e mi > son > ritrovato con questo risultato: > > Checking `bindshell'... INFECTED (PORTS: 4000) usa netstat e/o fuser e vedi quale processo occupa la porta 4000 > Nmap mi dice

Re: Chkrootkit e risultati

On 6/21/05, InSa <[EMAIL PROTECTED]> wrote: Qualche suggerimento? la prossima volta usa un firewall! ;) ciao Lorenzo

Re: Chkrootkit e risultati

On Tue, 21 Jun 2005 16:27:51 +0200 (CEST) Apaella <[EMAIL PROTECTED]> wrote: > beh, queste due righe mi farebbero riflettere... > cos'è remoteanything??? > > > > Checking `bindshell'... INFECTED (PORTS: 4000) > > > 4000/tcp open remoteanything (rispondo in lista) Eh, appunto. Ma non riesco

Chkrootkit e risultati

Salve a tutti, sul mio serverino casalingo (sarge) oggi ho eseguito chkrootkit e mi son ritrovato con questo risultato: Checking `bindshell'... INFECTED (PORTS: 4000) Nmap mi dice che sono aperte queste porte: 22/tcp open ssh 111/tcp open rpcbind 113/tcp open auth 139/tcp open netbios-