[Generale] password cambiata

Daniele Paganelli daniele a modena1.it
Gio 25 Gen 2007 17:16:48 GMT


Se non hai già tentato, prova a lanciare il comando last. L'output indica in 
tutti gli accessi in ordine cronologico inverso (l'ultimo per primo). 
Per un rapido controllo puoi mandare l'out in pipe a head:
last|head
e controllare gli ultimi 10 accessi alla macchina.
E' molto utile in quanto riporta l'host dal quale è stata fatta la connessione 
e l'orario.
Tuttavia potrebbe essere inutile nel caso l'intruso fosse riuscito ad ottenere 
i permessi di root (se è furbo cancella le tracce). Però se cambia le pass 
forse non è così furbo. Inoltre se l'accesso non avviene via ssh ma con altri 
mezzi, non lascia traccia in last.log.

Il file /var/log/auth.log mostra tutte le operazioni di autenticazione verso 
root (su, sudo e root login).

Se riscontri lentezza sospetta puoi utilizzare il comando netstat -t per farti 
elencare tutte le connessioni attive. Dopo aver chiuso tutte le applicazioni 
di rete, dovrebbero esserci esclusivamente connessioni in chiusura. 
bwm-ng ti mostra poi in tempo reale il traffico di rete. 

L'accoppiata "ps aux" e "grep" da molte informazioni su quanto sta avvenendo 
sulla macchina. Ad esempio, lanciando il comando:
ps aux|grep utente
ottieni tutti i processi usati dall'utente.

Il problema potrebbe non essere dovuto ad intrusioni, controlla il file di log 
di gdm in /var/log/gdm. Potresti avere una scadenza per le password, che le 
resetta se l'utente non le cambia ogni tot? (non ho idea di come funzionino 
le scadenze...).

Dovrebbe esserci un frontend per la comoda visualizzazione dei vari log di 
sistema, per gnome. Non ricordo il nome... vado benissimo a colpi di tail.


Oltre questo, sarei interessato anch'io a metodi più avanzati e sistematici 
per localizzare le intrusioni... esempio una cronologia totale di tutti i 
comandi mai lanciati nella storia del sistema.


Alle 13:34, mercoledì 24 gennaio 2007, manuela ha scritto:
> Ho un computer con una debian etch e 3 users.
> Ultimamente ho notato che la connessione adsl è molto lenta e a volte si
> interrompe, inoltre per ben due volte uno degli user ha trovato la sua
> passwd di login cambiata.
> Ieri, mentre ero connessa mi si è chiusa la sessione all'improvviso per
> ben 4 volte di seguito portandomi alla schermata di gdm per il login. In
> gdm era attivato il login automatico (senza passwd)  dell'user che ha
> trovato la passwd cambiata. Per il momento l'ho tolto e ho cercato di
> capire dai log, con chkrootkit e altro software (ho seguito una guida
> trovata su linux magazine) di cui ho capito meno della metà, se qualcuno
> era entrato. Comunque, dai controlli eseguiti non ho trovato traccia del
> passaggio di intrusi. Non capisco nemmeno l'utilità, se si trattasse di
> intruso, di cambiare la password dell'user in questione, a meno che il
> suo scopo non fosse proprio provare la sua presenza. Non so che fare: ho
> reinstallato da poco la distro sempre per lo stesso dubbio di avere a
> bordo intrusi...
> Qualcuno mi sa consigliare cosa fare? Oppure il software giusto per
> vedere se ho qualche intruso  nel computer o per prevenire o mostrarne
> le tracce...?
>
> Manu

-- 
http://daniele.modena1.it


Maggiori informazioni sulla lista Generale