Come capire se il mio pc e' attaccato?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
danae20032001
Linux 1.x
Linux 1.x
Messaggi: 147
Iscritto il: dom 6 nov 2005, 23:28
Località: milano

Come capire se il mio pc e' attaccato?

Messaggio da danae20032001 »

Salve a tutti ho la slack current con il kernel 2.4.32 ed uso il pc come sistema desktop. Come posso capire se il mio pc e' soggetto ad attacchi? Ho scaricato da slacky KSystemLog e aprendolo mi visualizza i log di sistema...ma vorrei capire come interpretare quelli sospetti; ad esempio mi appaiono diverse righe cosi':

05/20/2006 10:57:06 AM darkstar none -- MARK --

In soldoni: come posso capire con questo programma se c'e' qualcosa di sospetto? Grazie!

Vlk
Linux 3.x
Linux 3.x
Messaggi: 671
Iscritto il: mer 9 feb 2005, 0:00

Re: Come capire se il mio pc e' attaccato?

Messaggio da Vlk »

danae20032001 ha scritto:Salve a tutti ho la slack current con il kernel 2.4.32 ed uso il pc come sistema desktop. Come posso capire se il mio pc e' soggetto ad attacchi? Ho scaricato da slacky KSystemLog e aprendolo mi visualizza i log di sistema...ma vorrei capire come interpretare quelli sospetti; ad esempio mi appaiono diverse righe cosi':

05/20/2006 10:57:06 AM darkstar none -- MARK --

In soldoni: come posso capire con questo programma se c'e' qualcosa di sospetto? Grazie!
Ahahah. Anch'io mi preoccupai per Marco. Sappi comunque che MARK è un segnale "di vita" che da il kernel, nulla più. Da quello che ho capito - e se ho capito male vorrei che me lo diceste - un cracker attacca solo se vede servizi (server) e porte aperte, come la 21/22 con i servizi ftp o http. Altrimenti è molto difficile aprire una porta e utilizzarla per entrare nel pc altrui. Basta dare un nmap locahost per sapere quali porte sono aperte.

danae20032001
Linux 1.x
Linux 1.x
Messaggi: 147
Iscritto il: dom 6 nov 2005, 23:28
Località: milano

Messaggio da danae20032001 »

ho dato:

$ nmap localhost

Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-05-21 09:33 CEST
Interesting ports on darkstar.example.net (127.0.0.1):
(The 1670 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
37/tcp open time
113/tcp open auth

Nmap finished: 1 IP address (1 host up) scanned in 0.347 seconds

ma non so se devo rpeoccuparmi.....qualcuno sa chiarirmi le idee per favore? Grazie!

Vlk
Linux 3.x
Linux 3.x
Messaggi: 671
Iscritto il: mer 9 feb 2005, 0:00

Messaggio da Vlk »

danae20032001 ha scritto:ho dato:

$ nmap localhost

Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-05-21 09:33 CEST
Interesting ports on darkstar.example.net (127.0.0.1):
(The 1670 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
37/tcp open time
113/tcp open auth

Nmap finished: 1 IP address (1 host up) scanned in 0.347 seconds
In pratica hai due porte aperte. Se non ti servono e non ti servono nemmeno i vari server (ftp, http) loggati da root, digita pkgtool --> Setup --> services e seleziona solo cups e sysolg. Riavvia e vedi che hai solo una porta aperta, la 631, che ascolta in locale e quindi non èè una porta che si può utilizzare per attacchi.

Avatar utente
MAT
Linux 4.x
Linux 4.x
Messaggi: 1242
Iscritto il: mer 9 mar 2005, 0:00
Nome Cognome: Matteo Magni
Kernel: 2.6.20
Desktop: Fluxbox
Distribuzione: Gentoo
Località: Vignola, Modena

Messaggio da MAT »

Vlk ha scritto:Riavvia
:shock: Riavviare? E perché? Mica stiamo parlando di Windows :lol:
Basta stoppare i servizi e sei a posto

Codice: Seleziona tutto

# /etc/rc.d/rc.nomeservizio stop

danae20032001
Linux 1.x
Linux 1.x
Messaggi: 147
Iscritto il: dom 6 nov 2005, 23:28
Località: milano

Messaggio da danae20032001 »

Il problema e' che non ho la piu' pallida idea di cosa possano servire le due suddette porte...scusate ma qualcuno mi puo' spiegare il loro utilizzo prima di chiuderle? Grazie!

Avatar utente
gnubit
Linux 3.x
Linux 3.x
Messaggi: 751
Iscritto il: lun 17 apr 2006, 0:16
Località: Verona
Contatta:

Messaggio da gnubit »

time 37/tcp Time
time 37/udp Time
....
auth 113/tcp Authentication Service
auth 113/udp Authentication Service
La 113 dovrebbe essere ident, la 37 boh forse NTP

Rispondi