Skip to first unread message
![Alessio Vitullo [FSF MEMBER]'s profile photo](http://lh3.googleusercontent.com/a-/ALV-UjXFmzFhQHAsVs3w5sfD5E5yciSCKRX97ALGUmCnZd10jYdjS5I_=s40-c)
Alessio Vitullo [FSF MEMBER]
Mar 12, 2017, 9:47:36 AM3/12/17
to wii_libera_la_lavagna
Salve a tutti ,
Scusatemi se vi disturbo ma ho bisogno d'aiuto , nel cuore della notte sono stati "hackerati" i server dell'azienda di un mio amico , che si occupa dunque di hosting.
Come risolvo il problema? L'unica cosa per cui dire "sono fortunato" e che aveva modificato tutte le password di tutti gli user che potevano avere accesso alla macchina (2 user root e 5 user normali) tranne uno. Stranamente ad un user root non gli era stata modificata la password e attraverso esso sono riuscito a ripristinare solo una parte del server e riuscivo a vedere tutto l'output del file access.log
Non c'è una copia di backup e sono stati eliminati tutti i dati contenuti all'interno di esso. Ed ho paura che il cracker infiltrato nel server abbia messo una backdoor , dato che ovviamente al momento sto vedendo tutte le connessioni stabilite direttamente al server.
Aiutatemi , vi prego.
Distinti saluti ,
Alessio
Alessio Vitullo [FSF MEMBER]
Mar 12, 2017, 10:14:19 AM3/12/17
to wii_libera_la_lavagna
Ah scusami , nei server uso la distribuzione linux CentOS! :)
Marco Ciampa
Mar 12, 2017, 10:41:53 AM3/12/17
to wii_libera...@googlegroups.com
Ma cerca di dire qualche cosa di più se vuoi essere aiutato! Dire
"aiutatemi" serve solo quando la situazione è banale (es. stai
affogando...). Anche dire al meccanico "aiutami l'auto non va" non serve
a molto. Devi spiegare bene il tuo problema.
- cosa vuoi dire esattamente con hanno "hackerato" i server aziendali?
Forse vuoi dire "crack-ato"?
Hacker-ato vuol dire sostanzialmente che l'anno migliorato con una
bella trovata (un "hack" per l'appunto)...
- anche ammesso che tu voglia dire "crack-ato" non è chiaro cosa
vuoi dire. Esattamente _cosa_ hanno fatto? Per esempio:
- Hanno guadagnato accesso a root?
- Hanno de-face-ato il sito web?
- Hanno bucato un servizio?
- due user "root"? Di user root ce n'è uno solo per macchina...
- ha cambiato password (a che serve se l'hanno crack-ato?)
- questi server cosa fanno? Web o qualche servizio interno?
- da quanto tempo non li aggiornavate?
- non è che hanno in realtà bucato i pc degli utenti che vi
accedono (tipicamente con Windows con installato winftp o filezilla e
tanti bei programmi crack-ati con tanti bei virus dentro...)
rubandone le password?
PS: se hanno avuto accesso a root, mi spiace tanto, ma dei vecchi server
non puoi più fidarti e _devi_ formattarli e rifarli da zero.
--
Marco Ciampa
I know a joke about UDP, but you might not get it.
------------------------
GNU/Linux User #78271
FSFE fellow #364
------------------------
Alessio Vitullo [FSF MEMBER]
Mar 12, 2017, 11:18:07 AM3/12/17
to wii_libera_la_lavagna
Allora.. I cracker hanno guadagnato l'accesso nel gruppo "root" attraverso l'unix privilege escalation (quindi cancellando tutto il contenuto di esso) , l'ultima volta che il server è stato aggiornato sembra essere 2 settimane fà e inoltre (rispondo ad ordine casuale alle tue domande perchè sono abbastanza impegnato con questo problema) non c'è nessun client windows collegato ad esso , in questa stanza (in cui attualmente stò) ci sono solamente macchine linux :)
Spero di averti dato più dettagli.
Distinti saluti ,
Alessio :)
Marco Ciampa
Mar 12, 2017, 11:33:11 AM3/12/17
to wii_libera...@googlegroups.com
On Sun, Mar 12, 2017 at 08:18:07AM -0700, Alessio Vitullo [FSF MEMBER] wrote:
> Allora.. I cracker hanno guadagnato l'accesso nel gruppo "root" attraverso
> l'unix privilege escalation (quindi cancellando tutto il contenuto di esso)
non sai da che servizio?
> Allora.. I cracker hanno guadagnato l'accesso nel gruppo "root" attraverso
> l'unix privilege escalation (quindi cancellando tutto il contenuto di esso)
> , l'ultima volta che il server è stato aggiornato sembra essere 2 settimane
> fà e inoltre (rispondo ad ordine casuale alle tue domande perchè sono
> abbastanza impegnato con questo problema)
> non c'è nessun client windows collegato ad esso,
> in questa stanza (in cui attualmente stò) ci sono
> solamente macchine linux :)
mi hai detto che fa hosting) pensavo a persone (clienti) che accedevano
ai servizi via ssh o ftp ...
> Spero di averti dato più dettagli.
Ok i server vanno formattati allora e non so proprio che tipo di aiuto
(se non morale) possa darti chiunque...
In ogni caso un aggiornamento ogni due settimante potrebbe essere troppo poco...
https://lwn.net/Alerts/CentOS/
... è dura la vita di chi fa hosting...
Reply all
Reply to author
Forward
0 new messages