Come capire se il mio pc e' attaccato?
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
-
danae20032001
- Linux 1.x

- Messaggi: 147
- Iscritto il: dom 6 nov 2005, 23:28
- Località: milano
Come capire se il mio pc e' attaccato?
Salve a tutti ho la slack current con il kernel 2.4.32 ed uso il pc come sistema desktop. Come posso capire se il mio pc e' soggetto ad attacchi? Ho scaricato da slacky KSystemLog e aprendolo mi visualizza i log di sistema...ma vorrei capire come interpretare quelli sospetti; ad esempio mi appaiono diverse righe cosi':
05/20/2006 10:57:06 AM darkstar none -- MARK --
In soldoni: come posso capire con questo programma se c'e' qualcosa di sospetto? Grazie!
05/20/2006 10:57:06 AM darkstar none -- MARK --
In soldoni: come posso capire con questo programma se c'e' qualcosa di sospetto? Grazie!
Re: Come capire se il mio pc e' attaccato?
Ahahah. Anch'io mi preoccupai per Marco. Sappi comunque che MARK è un segnale "di vita" che da il kernel, nulla più. Da quello che ho capito - e se ho capito male vorrei che me lo diceste - un cracker attacca solo se vede servizi (server) e porte aperte, come la 21/22 con i servizi ftp o http. Altrimenti è molto difficile aprire una porta e utilizzarla per entrare nel pc altrui. Basta dare un nmap locahost per sapere quali porte sono aperte.danae20032001 ha scritto:Salve a tutti ho la slack current con il kernel 2.4.32 ed uso il pc come sistema desktop. Come posso capire se il mio pc e' soggetto ad attacchi? Ho scaricato da slacky KSystemLog e aprendolo mi visualizza i log di sistema...ma vorrei capire come interpretare quelli sospetti; ad esempio mi appaiono diverse righe cosi':
05/20/2006 10:57:06 AM darkstar none -- MARK --
In soldoni: come posso capire con questo programma se c'e' qualcosa di sospetto? Grazie!
-
danae20032001
- Linux 1.x

- Messaggi: 147
- Iscritto il: dom 6 nov 2005, 23:28
- Località: milano
ho dato:
$ nmap localhost
Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-05-21 09:33 CEST
Interesting ports on darkstar.example.net (127.0.0.1):
(The 1670 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
37/tcp open time
113/tcp open auth
Nmap finished: 1 IP address (1 host up) scanned in 0.347 seconds
ma non so se devo rpeoccuparmi.....qualcuno sa chiarirmi le idee per favore? Grazie!
$ nmap localhost
Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-05-21 09:33 CEST
Interesting ports on darkstar.example.net (127.0.0.1):
(The 1670 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
37/tcp open time
113/tcp open auth
Nmap finished: 1 IP address (1 host up) scanned in 0.347 seconds
ma non so se devo rpeoccuparmi.....qualcuno sa chiarirmi le idee per favore? Grazie!
In pratica hai due porte aperte. Se non ti servono e non ti servono nemmeno i vari server (ftp, http) loggati da root, digita pkgtool --> Setup --> services e seleziona solo cups e sysolg. Riavvia e vedi che hai solo una porta aperta, la 631, che ascolta in locale e quindi non èè una porta che si può utilizzare per attacchi.danae20032001 ha scritto:ho dato:
$ nmap localhost
Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-05-21 09:33 CEST
Interesting ports on darkstar.example.net (127.0.0.1):
(The 1670 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
37/tcp open time
113/tcp open auth
Nmap finished: 1 IP address (1 host up) scanned in 0.347 seconds
- MAT
- Linux 4.x

- Messaggi: 1242
- Iscritto il: mer 9 mar 2005, 0:00
- Nome Cognome: Matteo Magni
- Kernel: 2.6.20
- Desktop: Fluxbox
- Distribuzione: Gentoo
- Località: Vignola, Modena
Vlk ha scritto:Riavvia
Basta stoppare i servizi e sei a posto
Codice: Seleziona tutto
# /etc/rc.d/rc.nomeservizio stop-
danae20032001
- Linux 1.x

- Messaggi: 147
- Iscritto il: dom 6 nov 2005, 23:28
- Località: milano
