Esegui l'accesso

**guest** · 16-07-2010, 19:59

Originariamente Scritto da Uno

Ma come no? Quello sul reset del server....

A forza di resettarlo o si impara o si lascia perdere

Edit: per reset intendo ri-format e reinstallazione

Te scherzi, ma è così che si fa, ed è così che si impara.
Sopratutto quando ti bucano il server e non sai che pesci pigliare.
Se non sai cosa fare, sicuramente non saprai nemmeno rilevare delle backdoor (che se ben piazzate, nemmeno un sistemista con 50 anni di esperienza può trovare), quindi l'unica soluzione è ripartire da zero con un sistema nuovo.

Almeno io ho sempre fatto così. Se mi bucano un server, backuppo tutti i dati e riparto da zero.

**Uno** · 16-07-2010, 20:48

Originariamente Scritto da guest

Te scherzi, ma è così che si fa, ed è così che si impara.

Io non scherzavo mica

Sopratutto quando ti bucano il server e non sai che pesci pigliare.
Se non sai cosa fare, sicuramente non saprai nemmeno rilevare delle backdoor (che se ben piazzate, nemmeno un sistemista con 50 anni di esperienza può trovare), quindi l'unica soluzione è ripartire da zero con un sistema nuovo.

Anche perchè, sebbene non sia una cosa che fa il lamer al serverino del "sistemista" incapace, uno con le @@ ti piazza una backdoor che hosta a livello inferiore tutto il sistema, come se fosse virtualizzato.
Quella non la trovi neanche con 100 anni di esperienza e neanche il format e reinstall che partisse da dentro il server ti salva. Riformatti e reinstalli tutto convinto di aver pulito in realtà stai reinstallando il "vps" che credi essere tutto il server.
Ma questa è roba solo da spionaggio industriale in grande e da gente con le @@.
Se ti bucano il server per spammare lo usano finchè possono e poi ne usano altri.

**andrea.paiola** · 16-07-2010, 20:50

Originariamente Scritto da guest

Te scherzi, ma è così che si fa, ed è così backuppo tutti i dati e riparto da zero.

sperando che nei dati che devi ripristinare non ci siano cosette nascoste...

Originariamente Scritto da Uno

una backdoor che hosta a livello inferiore tutto il sistema, come se fosse virtualizzato
[...]Riformatti e reinstalli tutto convinto di aver pulito in realtà stai reinstallando il "vps" che credi essere tutto il server.

**guest** · 16-07-2010, 20:52

A ma basterebbe fare un modulo per il kernel.
Il 99.999 periodico degli utenti non si accorgerà mai che c'è un modulo di troppo di nome "blockio" che non ha niente a che fare con l'i/o ma in realtà o tiene una porta aperta o apre lui stesso la connessione verso un server ponte.

**guest** · 16-07-2010, 20:54

Originariamente Scritto da andrea.paiola

sperando che nei dati che devi ripristinare non ci siano cosette nascoste...

Ovviamente, ma almeno hai buttato via le backdoor.
Il malintenzionato dovrebbe ribucare il server e riattivare la door.
Se magari hai anche aggiornato il software, l'eventuale bug sfruttato in precedenza è stato risolto.

Poi, considera che una volta ripristinato un server è improbabile che lo stesso malintenzionato ritorni, non ne avrebbe più il vantaggio economico, ne frattempo ne ha bucati altri 4 e conviene usare quei 4.

**andrea.paiola** · 16-07-2010, 20:54

ma la buona e sana pratica di fare le prove e imparare in locale e non in produzione che fine ha fatto?

**andrea.paiola** · 16-07-2010, 20:56

Originariamente Scritto da guest

Il malintenzionato dovrebbe ribucare il server e riattivare la door.

che probabilmente vorrebbe dire rieseguire un file di cui aveva già fatto l'upload e che hai ripristinato... perchè è un file uploadato da un utente in mezzo ad altri mille

io una prova per vedere se quel file c'è e funziona ancora la farei

**guest** · 16-07-2010, 21:06

Non sempre è possibile.
Spesso le backdoor (non si parla di un banale defeacement) le installi solo tramite una fortuita combinazione di configurazioni errate ed escalation su più livelli. Il PHP è il primo step, poi ci vuole anche tutto il resto, a cominciare dai permessi di esecuzione di php, permessi errati a livello di sistema, nessuna openbasedir, la /tmp scrivibile ed in comune etc etc.

Basta che venga a mancare un fattore per rendere vano l'attacco precedente.
Con una reinstallazione i permessi a livello di sistema vengono ripristinati, quindi eventuali cagate fatte in passato dal sistemista potrebbero venir risolte da subito.

Metti che per qualche arcano motivo dai 777 alla tmp accessibile in comune e ti dimentichi di montare il filesystem in noexec.
reinstalli tutto, metti la tmp su filesystem separato montato in nosuid,noexec,nodev ed hai spezzato la catena di escalation.

**andrea.paiola** · 16-07-2010, 21:13

giusto guest, il mio era un intervento semiserio

**kyxz** · 16-07-2010, 21:49

Io direi che smanettare è il primo passo verso la disoccupazione. Voglio dire, se vuoi imparare smanettando metti in conto che potresti trovare qualcuno che non è disposta a darti il tempo di cui hai bisogno. E non parlo di adesso, è una cosa di cui devi renderti conto quanto prima, perchè una volta acquisita una forma-mentis è difficile liberarsene.