[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [RiminiLUG-General] Intrusione su vps Aruba
Il mercoledì 11 novembre 2009 19:22:07 Mauro Ferri ha scritto:
> Spero che questo sia il posto giusto per postare questo tipo di richieste,
> in caso contrario me ne scuso in anticipo.
l'ideale sarebbe ml@xxxxxxxxxxxxx, però ... :)
> Nel maillog ho trovato righe come queste:
più che altro è interessante lanciare il comando qmail-qstat (di solito
in /var/qmail/bin/qmail-qstat )
> Infine parte finale dell'output del comando ps aux | grep qmail è questo:
Poco indicativo.
> La domanda è molto semplice: cosa devo fare per ripristinare l'integrità
> del mio VPS prima di procedere al ripristino dell'ultimo backup (che spero
> 'sano') ?
Prima di tutto dovresti capire:
1) il tipo di "intrusione", cosa dice l'output di `last`? Quando ci sono stati
gli ultimi login?
2) quali tipi di servizi sono attivi sulla macchina? `netstat -lntp` e
`netstat -lnup` aiutano (porte in listening in tcp ed in udp)
3) usa una versione compilata staticamente di un rootkit detector (rkhunter,
ad esempio)
4) (ma in realtà il primo da fare): se pulisci tutta la coda di qmail
(qmail-qread | grep vari |
qmail-nonricordoilcomandopercancellarelamailincoda), e lanci un relay checker
(es: http://www.abuse.net/relay.html ) cosa dice?
5) (ancora prima da fare) iptables -A INPUT -p tcp --dport 25 -j REJECT così
intanto non metti altre mail in coda. volendo anche iptables -A OUTPUT -p
tcp --dport 25 -j REJECT così non mandi fuori mail di spam.
e poi vediamo...
bye
d.