GroLug - Associazione Culturale Grosseto Linux Users Group, LUG di Grosseto e provincia

[maxmurd]

Salve

Immaginate che io e voi siamo diventati amministratori di un server debian non nostro. Uno come può essere il nostro Puccioso.
Voi ci entrate dopo 4-5 giorni dal ricevimento della password di root e per caso scoprite che nel frattempo io ho fatto le seguenti cose:

* un account utente per me (max) e un altro account utente sempre per me (pippo), la cui home però l'ho messa sotot /opt
* ho modificato /etc/passwd portando la riga di questo utente pippo poco sotto la root
* ho cancellato la history della bash del mio utente pippo e anche di root
* ho istallato il software debootstrap ( http://www.debian-administration.org/articles/426 )

tutto questo in 4-5 giorni. Tenete conto che il server è in piedi e attivo da anni e non richiedeva al momento manutenzione.

Se no mi conosceste, cosa pensate che io stia facendo?
Vediamo se giungete alle stesse mie conclusioni.

[blackms]

E` ovvio che tu stessi installando una backdoor...
Mi correggo, che tu l'abbia probabilmente gia` installata.

[rtacconi]

/opt mi fa venir in mente l'installazione di software... per contenere dati.

debootstrap serve per fare il boot di server virtuali, con Xen o KVM, quindi penso che tu stia tentando di crearti una macchina virtuale. Se hai rimosso la history hai la coscienza sporca, quindi il server virtuale lo userai per farci i cavoli tuoi, magari anche cose illegali.

Pero` tutto questo mi sembra anche abbastanza stupido, perche` puoi vedere le macchine virtuali attive sul server.

[maxmurd]

Ok grazie ragazzi la pensiamo allo stesso modo, chi cancella una history in modo così maldestro poi ha cose da nascondere.

Io non sono un esperto di sicurezza, per cui aiutatemi
Come mi posso accorgere della backdoor (o della VM)? Che prove devo fare?
Per la VM ci sono i comandi ok, basta che li ritrovo, ma la bd?

[blackms]

Con debootstrap non solo puoi installare sistemi su macchine virtuale ma anche in ambienti chrooted. Ottimi per una backdoor in quanto meno rilevabili.

[maxmurd]

Tecniche di rilevazione? Devo andare a naso o che?

[pingu]

Salve a tutti.
Potreste essere meno criptici e far capire anche me?
A grandi linee credo di aver intuito che cosa è accaduto ma se me lo spiegate nel dettaglio ve ne sono grato.

[maxmurd]

Grande Ale, quell'admin ha "semplicemente" agito in modo da nascondere (a metà) quello che ha fatto e caoncellare le tracce dei coomandi che ha emesso.
Se uno legge la history può vedere tutto quello che ha fatto da console, se la cancella non si vede più nulla.
In sostanza il tipo ha avuto diversi comportamenti che globalmente fanno ritenere che abbia fatto cose di cui nessuno deve sapere nulla, e quindi probabilmente cose che lui non avrebbe dovuto fare.

Tutto qui.

[pingu]

Per il capitolo:
"A pensar male si fa peccato ma, generalmente, ci si indovina"

Grazie Max