Tales from the Machine Room
Home Page | Comments | Articles | Faq | Documents | Search | Archive | Tales from the Machine Room | Contribute | Login/Register
What is this?

Sometimes ago, while I was bored, I began writing down what is going on in my office. Removing the names of course to protect the guilty. The "tales" appeared well accepted in the it.comp.os.linux.sys newsgroup. So I decided to preserve them for posterity.

Usual characters:

ME - That's me.
CL - Clueless Luser, a common user, can't use a computer to save his life, but he thinks he knows better.
UL - Uber Luser, middle-manager or project-manager. Not much better from a technical point of view, but his salary is much higher.
SL - SuperLuser, manager. See above.
SUSL - Super-Ultra-Super-Luser, CIO or similar.
HR - Human Resource, person (usually a CL) that works in the hr department.
Bob - All the tech-support peoples are named 'Bob'. Seriously.

See also the FAQ.

Io phisho, tu phishi, egli...

Ed eccoci di nuovo a narrare le disavventure del swerver di CL, ne sentivate la mancanza? Io no. Decisamente. Allora, dopo la totale debacle, l'attivita' di amministrazione era stata ripassata a noialtri, ma dopo un po' CL era stato ri-autorizzato ad accedere al server e fare danni apportare modifiche alla configurazione.

Ovviamente noialtri stavamo scommettendo su quando sarebbe capitato il successivo cataclisma. Cataclisma che non ha tardato a verificarsi.

Stamani infatti ricevo una mail da $isp che dice (piu' o meno):

Warning! Il vostro account XYZ per il server $serverdiCL e' stato sospeso
in quanto abbiamo rilevato che tale server ospita un sito di phishing.
Per ulteriori informazioni vedere...

E giu' una sfilza di riferimento di che roba e' il "phishing". Che io non devo dirvelo eh?.

Quello che purtroppo e' mancante in questa dannata mail e' dove accidenti sta il 'sito' incriminato tra i millemila siti che sono ospitati in quella maledetta macchina.

Comincio percio' con il fare login sul swerver e vedere che accidenti ha fatto CL negli ultimi 3 o 4 giorni. E gia' vedo una cosa che non mi garba manco un po'. Pare che ultimamente CL abbia imparato cosa e' ".bash_history". In particolare ha imparato a fare un "rm .bash_history" come primo foxxuto comando ogni volta che fa login.

Vado a vedere quali sono i siti modificati negli ultimi 3-4 giorni, una caterva (ovviamente). Ok, cosi' non arrivo a niente. E' il momento di prendere in mano il telefono. Comincio percio' con una bella telefonata a $helldesk_di_isp per sapere quale e' l'URL di quel sito di phishing, zappo via l'intero sito (dopo averne fatto un bel backup) e poi procedo con una bella mail ad UL (capo di CL) spiegando il come, il cosa ed il perche' e quindi mi metto in attesa dell'ecatombe.

Un paio di ore dopo suona il telefono...

UL - Sono UL.
IO - Salve, aspettavo la chiamata.
UL - Si, ma io non ho mica capito il problema...
IO - Allora, lei lo sa che cosa vuole dire "phishing" vero? (pensando: che se non lo sai cosa cazzo ci fai a fare il capo dell'ICT di una ditta che rivende spazio su interdet?)
UL - Si'... credo...
IO - Bene, pare che uno dei siti che sono ospitati sul vostro server sia un sito di phishing che pretende di essere il portale di accesso di $notoistitutodicredito.
UL - Ma come e' possibile?
IO - Tiro ad indovinare: un CL a caso ha fatto un'aggiornamento di uno dei siti tirando dentro delle schifezze che non avrebbe dovuto tirare dentro o ha installato una qualche cazzata che ha permesso a qualcun altro di installare la suddetta schifezza.
UL - Ma gli ho detto di stare attento a quello che fa!
IO - Infatti e' attentissimo a non lasciare tracce. Pare che adesso la prima cosa che fa quando fa login sia cancellare tutto lo storico dei comandi della volta precedente.
UL - Come sarebbe a dire?

Mettete qui, se vi pare, la spiegazione di che roba e' l'history dei comandi.

IO - ... quindi avendo rimosso l'history non sono in grado di dire che cosa e' stato fatto sul server.
UL - ...ho capito. Il sito lo avete trovato?
IO - Si', mi sono fatto dare gli estremi dall'ISP. Ma il problema non e' solo quello, non sapendo come questa roba sia entrata sul server c'e' sempre la possibilita' che il server sia stato 'bucato' e che vi siano software non autorizzati installati sopra. Io suggerirei una reinstallazione completa del server.
UL - ??? N'altra volta??
IO - E' l'unico modo di essere sicuri di aver rimosso qualunque schifezza dalla macchina. Ovviamente significa tenere il server off-line per una giornata.
UL - Grrr.... ho capito... quando e' che potete fare la reinstallazione?
IO - Hummm... devo vedere con Bart quando possiamo andare alla co-lo e portarlo in ufficio, credo fine settimana al piu' tardi.
UL - Ok, voi procedete e intanto che ci siete rimuovete la login di CL. Io adesso vado a rimuovere qualche cosa d'altro...

Shit, meet fan; fan, meet shit; have a nice day.

Davide
27/10/2008 00:00

Previous Next

Comments

Comments are added when and more important if I have the time to review them and after removing Spam, Crap, Phishing and the like. So don't hold your breath. And if your comment doesn't appear, is probably becuase it wasn't worth it.

70 messages this document does not accept new posts
Alessandro PorcuAlessandro Porcu By Alessandro Porcu - posted 27/10/2008 09:16
Cavolo, e' proprio de coccio quello li ...... Speriamo sia la volta buona che te lo levano dai piedi ... o chi vive sperando, muore ....... male ?

denisdenis By denis - posted 27/10/2008 09:16

"rm .bash_history" ma allora SA di essere un babbuino... altrimenti che senso avrebbe piallarla? io l'ho portata a 10k perchè è troppo comoda.

KaspaKaspa By Kaspa - posted 27/10/2008 09:16

Rotoloni CL, non finiscono mai!

ThurillThurill By Thurill - posted 27/10/2008 09:17

Credo di sapere che cosa sia andato a rimuovere...

Buona giornata Davide!

MarioMario By Mario - posted 27/10/2008 09:17

Un problema in meno o attendi il suo sostituto che (Murphy e' li' che ti guarda eh...) sara' peggio dell'attuale?

z f kz f k By z f k - posted 27/10/2008 09:17

sara' mica arrivato il momento di far tenere una copia di .bash-history da qualche parte, in automatico? :\)

MassimoMassimo By Massimo - posted 27/10/2008 09:17

Ciao Davide ho scoperto il tuo sito qualche settimana fa e me lo sto leggendo tutto quanto giorno per giorno. Che dire, complimenti!

Premetto di aver letto le FAQ e sapere cosa sia FdT (so che ci tieni!) come mai non usi un cms o piattaforma di blog per pubblicare i contenuti? Che so, WordPress? Io lo trovo cosė comodo...

Se hai letto l'articolo sai perche'

C. BrogliatoC. Brogliato By C. Brogliato - posted 27/10/2008 09:17

Ho come l'impressione che il CL in questione avrà un brutto quarto d'ora, la fiducia nel prossimo mi fa pensare che non ci saranno altre telefonate per far dare al CL la password di root.
Se non ricordo male non avevi fatto un back up al server la volta scorsa?

Luca BertoncelloLuca Bertoncello By Luca Bertoncello - posted 27/10/2008 09:17

Bellissimo quel "io adesso vado a rimuovere qualche cosa d'altro"!!!
Spero proprio (per voi) che intenda rimuovere la testa di CL dal suo collo...

MauroMauro By Mauro - posted 27/10/2008 09:17

Vedo che dopo mille peripezie il "noi non abbiamo fatto nulla" sembra iniziare a passare di moda.

RobertoRoberto By Roberto - posted 27/10/2008 09:17

Il fatto che CL cancelli la .bash_history come PRIMA cosa, e' indicativo di due fatti:
a. ha la oscienza sporca
b. e' un cretino (ma questo fatto era gia- noto a priori), perche' dovrebbe farla come anche come ULTIMA altrimenti, almeno l'ultima sessione di lavoro, resta tracciata.

che sia la volta buona che CL subisca un rm -f ? sperem!

franganghifranganghi By franganghi - posted 27/10/2008 09:17

mh, sempre cosė? non c'è pace per i dannati.

MaurizioMaurizio By Maurizio - posted 27/10/2008 09:17

> In particolare ha imparato a fare un "rm .bash_history" come primo foxxuto comando ogni volta che fa login.
Si fan sempre piu' furbi questi CL

yogurtyogurt By yogurt - posted 27/10/2008 09:17

Ahahahahah... sono alle lacrime =')

SacripantSacripant By Sacripant - posted 27/10/2008 09:17

Eccezionale...mi vedo UL in funzione Eraser (L'eliminatore) con il miTTico Arnold che va a rimuovere CL.
Dite che avrà fatto rm -Rf *.tfr di CL?

Certo che se sto CL perdesse il tempo per cercare di capire come funzionano le cose che fa invece di cercare di capire come far danni e nascondersi...ops non sarebbe più CL.

'giorno D. :\)

Michele MontanariMichele Montanari By Michele Montanari - posted 27/10/2008 09:18

n00b die on dead line...

andrea giocondiandrea giocondi By andrea giocondi - posted 27/10/2008 09:18

beh, forse per un pò di tempo avrai un problema in meno... Tutto sta nel capire QUANTO tempo

grickgrick By grick - posted 27/10/2008 09:18

Chissa' se si fermano a due solo reinstallazioni o decidono di iterare il processo

Comunque invece di rimuovere il login di CL dovresti fare eseguire al suo login invece di bash un bello script che spedisce una mail al suo UL:
"Ciao UL, sono CL. Contravvenendo in pieno alle tue disposizioni, ho fatto il login sul server X :\)".

SteveSteve By Steve - posted 27/10/2008 09:18

Cacchio stavolta l'ha fatta grossa. C'è da dire che è anche un po' sfigato però.. alla prima cappellata i piscer gli bucano il sito in tempo zero l'isp lo sgama. Un viaggetto a Lourdes non gli farebbe male.

CyberCyber By Cyber - posted 27/10/2008 09:40

Cosa ha rimosso poi?

filsysadminfilsysadmin By filsysadmin - posted 27/10/2008 09:40

Non e che CL per mestiere fa il "pescatore" ? Anche perchè l'rm della history è un pelo sospetta.

MarcoMarco By Marco - posted 27/10/2008 09:40

Come direbbe Murphy "I cretini sono sempre piu' ingegniosi delle precauzioni che si prendono per impedirgli di nuocere"....

o0Alessandro0oo0Alessandro0o By o0Alessandro0o - posted 27/10/2008 10:22

Bene, CL e' ancora piu' cretino di quanto pensassi. Se sai di aver fatto una vaccata, .bash_history mica la levi (dimostrando cosi' di avere la coscienza sporca): la "correggi"!

E' vero che dovresti sapere di che vaccata si tratta e, dato il tipo, mi sa che si rende conto di fare vaccate ma non ha idea di quali siano...

@Steve: che sia la prima cappellata e' un'ipotesi (peraltro estremamente ottimistica visto il track record di CL). Per quanto ne sappiamo, il sito e' probabilmente nella mystica posizione che, in Toscana, definiscono "buopillonzi". In costume adamitico. Con un tatuaggio "welcome" sulla schiena. In una prigione senza visite coniugali.

@D: ogni tanto si vede in che lingua pensi "Pretendere", in italiano, e' sinonimo di "esigere": io pretendo di essere pagato per il lavoro che faccio e il mio panettiere pretende di essere pagato per le michette. Buoni "false friends" a tutti...

AlessioAlessio By Alessio - posted 27/10/2008 10:22

E ora una nuova puntata di ... (signorina che mostra l'acconciatura) "CL vs D.". Ormai dovresti fare le magliette
"adotta anche tu un CL, cosi' ti risolleva la giornata quando sei triste".

DanieleDaniele By Daniele - posted 27/10/2008 10:22

Preparati Davide, il CL che lo sostituirà sarà peggio. Murphy non sbaglia. :\)

ALGALG By ALG - posted 27/10/2008 10:22

Suggerimento per quando reinstalli il server, LVM con possibilità di fare Snapshot e scriptino che fa uno Snapshot di .bash_history prima di ogni rm... Messo in piedi su server lasciato mio malgrado a Pigs&Dogs e va da Dio...

Ciao

TommasoTommaso By Tommaso - posted 27/10/2008 10:22

ROTFL! :D
Quel CL è proprio coriaceo eh? Tenta pure di far sparire le prove...
Quoto l'idea di loggare la sua .bash_history altrove, sempre che il suo UL lo lasci vivo e gli renda il permesso di nuocere...

Daniele C.Daniele C. By Daniele C. - posted 27/10/2008 12:30

@filsysadmin

Questa cosa mi fa pensare: 'sto pirla non sapeva fare neanche un rm ed ora ha appreso cos'è .bash_history, dove trovarlo e come rimuoverlo in un colpo solo... non è che CL si è detto "dato che non sono molto bravo, perché non lo faccio fare al mio nuovo amico che ho conosciuto in un Pub l'altra sera, il cui nome non mi ricordo, ma mi ha detto che è TAAANTO bravo?" e gli ha dato le password di Root?

Ricordo il Principio di Napoleone: "Non imputare a malafede, quello che puoi essere imputato ad imbecillità"
Posso farti notare che rm lo sapeva fare bene... anche troppo bene...

JurghenJurghen By Jurghen - posted 27/10/2008 12:30

<battutascontata>
Questa volta CL ha proprio phishato fuori dal vaso!
</battutascontata>

AntonioAntonio By Antonio - posted 27/10/2008 12:31

Ma son diventati veramente cosė furbi i CL da droppare la bash history? Addirittura il tizio sa a cosa serve bash_history??

Sicuro che da una falla di uno dei demoni in ascolto verso l'esterno non son riusciti ad ottenere i privilegi di root?
In questi casi solitamente la prima cosa è modificare il file di profilo per fare il rm dell'history per rendere la vita un pelo più difficile a noi sysadmin..

PS: Tnk per farmi iniziare in allegria i lunedė :\)

Daniele C.Daniele C. By Daniele C. - posted 27/10/2008 12:31

@Marco
Mi ricorda un "Responsabile" in un posto dove abbiamo fatto un'installazione di un nostro filtro per internet. Non sto a ripetere tutta la storia, ma, sostanzialmente, diceva che è inutile usare delle procedure per limitare gli utenti, dato che loro erano sempre un passo avanti, era meglio lasciargli fare quello che volevano, che si faticava di meno. Se non gli ho detto quello che realmente pensavo è stato un miracolo.

micmic By mic - posted 27/10/2008 12:31

uno che elimina la history ha la cosicienza sporca.
che poi se non erro facendo la rm di .bash_history la nuova history inizia proprio con il comando della rm. che pirlotto

MaurizioMaurizio By Maurizio - posted 27/10/2008 12:31

Nooooooo... e adesso che rimuovono il CL, hai perso una delle fonti migliori delle tue storie!!! o hai semplicemente risolto il problema alla fonte? :-\)

complimenti. è sempre un piacere passare di qua tutti i lunedė :-\)

Davide Inglima - limaCATDavide Inglima - limaCAT By Davide Inglima - limaCAT - posted 27/10/2008 12:31

Quando collaboravo con una distro linux veniva usata una patch su tutte le shell che scriveva (in append) un simpatico file dal nome "1" nella $HOME dell'utente e che metteva tutto il log in scrittura. Tale file inoltre era leggibile da tutti ma non cancellabile da nessuno (e in particolare solo scrivibile dalle shell). Ovviamente un programma c qualsiasi poteva battere la limitazione, ma sospetto che quel file 1 onnipresente in $HOME fosse lė solo per dirti "stai buono perché tanto ne abbiamo un altra copia da un altra parte".

Una patch similare é questa, ma non l'ho usata.
http://e133.enemy.cx/xSH-paranoia/

Eugenio D.Eugenio D. By Eugenio D. - posted 27/10/2008 12:32

Quanto tempo passerà prima che gli ridiano il log-in sulla macchina alias la distrugga un altra volta? Il tutto considerando che vedendo la precedente esperienza la cosa succederà sicuramente.

LGLG By LG - posted 27/10/2008 12:32

E' piu' probabile che chi ha bucato l'account di CL faccia rm .bash_history appena loggato.
Mai sopravvalutare un CL.

WheatMasterWheatMaster By WheatMaster - posted 27/10/2008 12:32

>>...come primo foxxuto comando ogni volta che fa login.

Coda di paglia grande come una casa. Come quando si cancella la cronologia del browser dopo essere andati su siti di donnine...

KurganKurgan By Kurgan - posted 27/10/2008 12:32

Per non lasciare tracce di una sessione in .bash_history, la soluzione piu` semplice e` quella di non chiudere la sessione con un "exit" ma con un "kill -9" del pid della propria shell. Cosi` facendo la history della sessione che si e` appena conclusa non viene scritta, lasciando tuttavia li` le precedenti. Che poi si vede lo stesso che hai fatto login perche` ci sono i dati in wtmp, ma comunque...

Paolo C.Paolo C. By Paolo C. - posted 27/10/2008 12:32

Nelle immortali parole di Gino Bramieri: dopo averne mangiato tre piatti ha capito che era risotto. Vale sia per il luser-wannabe-sysadm che per il suo responsabile, ma del primo non
sono sicuro.

GiepiGiepi By Giepi - posted 27/10/2008 12:32

Mah... adesso dovendo reinstallare riprenderai lo stato dei siti ospitati da backup, perdendo le modifiche? Io avrei cmq paura di infezioni anche nel codice di quei siti oramai...

TheMuleTheMule By TheMule - posted 27/10/2008 12:32

Secondo me anche senza LVM per quel CL basta mettere HISTFILE=~/.pipppero in qualche script di sistema (/etc/bashrc per intenderci), e fargli trovare un fake .bash_history ogni volta che si collega, in modo da non insospettirlo.

Ma sarebbe ancora più divertente un chattr +i sul finto .bash_history e poi godersi dei suoi tentativi di rimuoverlo (ovviamente leggendoseli da ~/.pipppero). Si insospettisce di sicuro, ma il divertimento è assicurato. :\)

MauroMauro By Mauro - posted 27/10/2008 12:32

La domanda ora è: quanto tempo passerà prima che riassegneranno la password al CL? :D

spacexplorerspacexplorer By spacexplorer - posted 27/10/2008 12:33

ih ih ih, non me la prenderei troppo: i siti di fishing sono utili! Si vedono (almeno tutti quelli che mi sono capitati) ad un Km, cosiccome le mail che ti mandano. Se la gente e` cretina ben gli sta`, il problema e` che il nostro sistema sociale trasforma i cretini in vittime.

@ALG mica puoi snapshottare (e spedire lo snap, se no ti cancella anche lui) a ogni login, oltre a tutto dovresti snapshottare tutti i volumi.

PS

nei srv che amministro io ho $HISTFILE a /dev/null (per me), la history è solo in memoria sino al logout; per gli altri script ben messo (il programma, non uno script) :\)

PalinPalin By Palin - posted 27/10/2008 13:28

@mic
Sė, a meno che tu non faccia rm .bash_history con un'altra shell... :\)

MgMg By Mg - posted 27/10/2008 13:28

Cioè... no... MA QUANTI DANNI HA INTENZIONE DI FARE!!!

filsysadminfilsysadmin By filsysadmin - posted 27/10/2008 14:13

@Daniele C.
Può essere ma solo se l'amico gli ha mostrato il biglietto truffaldino MAGO G GALBUSERA Cracker professionista.
No troppe e poi fai vaccate non insabbi come già detto precedentemente correggi se poi non sai correggere o altro allora Come suggerito di nuovo sopra UL-SUBzero ti potrebbe "carezzare".

NetWormNetWorm By NetWorm - posted 27/10/2008 15:09

@Alessio:
sarebbe meglio "Salva un server, uccidi un CL!"

@Davide:
in effetti la history non dovrebbe rimuoverla alla fine della sessione?

@all:
dopo 4 mesi del nuovo lavoro finalmente è arrivata la fatidica telefonata!
-CL: non funziona il router!
-Io: è acceso?
-CL: perchè, lo devo accendere?

MaxMax By Max - posted 27/10/2008 15:54

No, dai, non e' possibile... per me quell'ssere ha una password tipo "password" (o se si è davvero evoluto, il nome del cane) bucabile in 3 secondi dal primo fetente che passa e si trova casualmente per le mani un sitarello che ha bisogno di hosting... uno che sa che esiste .bash_history non e' cosi' pirla da avere un sito di phishing senza saperlo. Inutile cercare motivazioni esoteriche per fenomeni spiegabili semplicemente con "CL e' imbecille"...

MickyMicky By Micky - posted 27/10/2008 17:24

Io farei cosė per cancellare le tracce automaticamente:
o metto in ~/.bashrc HISTFILESIZE=0 oppure, che mi pare più divertente, echo rm -f ~/.bash_history > ~/.bash_logout

Ciao, Micky

Valerio L.T.Valerio L.T. By Valerio L.T. - posted 27/10/2008 19:15

Ciao Davide! Mi sa che sto CL è più duro di un virus eh?! Ma non ho capito bene l'ultima frase di UL "Io adesso vado a rimuovere qualche cosa d'altro..." non mi dire che lo ucciderà?!

Stammi bene!!! Valerio

SacripantSacripant By Sacripant - posted 28/10/2008 08:41

Eheh mi sa che oggi D. era ben incasinato dato che ha "aggiunto" commenti ai nostri commenti.
Direi che oggi potrebbe essere stata una giornata memorabile per le storie di D. Aspetteremo per vedere!!!
Io aggiungo spesso commenti ai vostri commenti, questo qui per esempio

denisdenis By denis - posted 28/10/2008 08:41

vorrei far notare che conoscere .bash_history non è una gran cosa e che:

1) il tizio la shell già la conosceva visti i danni che ha fatto, è un wannabe-sysad, la nomina di CL gli è arrivata non perchè non sapesse COME fare QUALCOSA ma perchè non aveva la più pallida idea di cosa stesse facendo, IMHO

2) la prima cosa che un CL impara è come fare danni e come cancellare le tracce, guardate un lab di informatica delle superiori e ne avrete le prove.. su 25 persone 3 sanno fare qualcosae le altre 22 sanno cancellare le tracce dei misfatti purchiedendo (testuali parole) "ma quando installo windows devo installare anche il cestino?"

SacripantSacripant By Sacripant - posted 28/10/2008 08:55

Ops avevo dimenticato un "poco" nella dicitura aggiunto...ho stravolto il significato della frase. Sto organizzando un pulmino per Lourdes o Caravaggio qualcuno è interessato!?
Ti posso dare un paio di CL da buttare nella piscina? fa lo stesso se non li riporti piu' indietro.

Paolo C.Paolo C. By Paolo C. - posted 28/10/2008 09:34

(per denis) Gli si poteva rispondere: installa prima il cestino e mettitici dentro.

ReadOnlyReadOnly By ReadOnly - posted 28/10/2008 13:13

@Paolo C.: da aggiungere "tenendo premuto Shift", prima che qualcuno lo recupera...

meksONEmeksONE By meksONE - posted 28/10/2008 13:45

grandioso... semplicemente grandioso. ODE a CL! :D

SacripantSacripant By Sacripant - posted 28/10/2008 15:00

Credo fortemente di voler essere tuo discepolo D.
Un giovine e aspirante Youngling, per poter conoscere ed imparare ad utilizzare tutti gli aspetti più reconditi dello sForzo/a...poter controllare le menti dei CL, configurare SpaghettiNetwork, depistare pescatori di frodo (phisher), ma soprattutto per sopravvire (nonostante assenza di spirito motociclista anche se adoro le moto) al tuo progetto finale eheh...

Che lo sforzo sia con te...

DomDom By Dom - posted 28/10/2008 15:33

shit meet fan...

ManuelManuel By Manuel - posted 28/10/2008 20:14

Ti seguo da anni ma questa storia mi ha veramente sbalordito. Come dice il proverbio?Errare umanum est, perseverare ovest :lol:

Paolo C.Paolo C. By Paolo C. - posted 28/10/2008 20:14

Per spacexplorer: ognuno di noi può rimanere VITTIMA di un lavoro mal eseguito o non eseguito affatto, per il quale abbiamo però corrisposto quanto ci è stato chiesto. L'esempio è calzante in quanto dimostra che siamo tutti frodabili, basta solo trovare chi si accorge della nostra ignoranza in uno specifico ambito. Mi auguro che tu possa ripensare a quanto hai scritto.

tillotillo By tillo - posted 29/10/2008 08:27

denis dice:

> [...] io l'ho portata a 10k perchè è troppo comoda.

Anche io a casa lascio 10K... ma sui server esposti preferisco fare "unset HISTFILE" ad ogni login.

Motivo? Un modo in più per capire immediatamente quando qualcuno che non sono io avvia una shell; e in ogni caso non c'è comando che faccio sui server che non conosca a memoria o che non lasci una traccia (pertanto un'history è inutile). Se devo ricordarmi una procedura faccio uno script o un mini-howto. Gli errori cerco di evitarli a priori ;\)

Sono un analista di sicurezza e l'esperienza insegna: la maggior parte delle intrusioni sono effettuate da ragazzini che non sanno cosa stanno facendo, e una buona parte degli "exploit" locali o remoti pubblici usano shellcode che non si occupano di modificare $HOME o $HISTFILE quando fanno partire "/bin/sh"... da qui ad un bel resoconto delle azioni perpetrate dall'intruso nel .bash_history il passo è breve.
Sull'ultima parte devo concordare.

spacexplorerspacexplorer By spacexplorer - posted 29/10/2008 08:28

@Davide

scusa per il (lungo) replay diretto
#ifndef flame

@Paolo C.

l'ho detto in senso ironico (l'"ih ih ih"). Quello che dici e` vero,
mi sembra pero` che nella nostra societa` la maggior parte delle cose funzioni sull'ignoranza del prossimo: solo nell'informatica quanti si fanno del sangue marcio per cercare di convincere un cliente che "cosi` non va", che "e` opportuno si faccia questo e questo" ecc?
E chi "la spunta" di solito? Continuero` sino all'ultimo a spiegare,
cerare di far capiere, ma vedo i risultati. Ci sono ambiti in cui sono io dalla parte dell'utente, ma cerco di essere il piu` critico possibile (trust is a weakness, confermo sulla mia pelle) non piango se mi fregano: impreco. Se sono io il responsabile sono pronto a pagare. Casi come questo sono anche utili, secondo me, quale monito per chi pensa di poter vivere nel paese delle meraviglie.

#endif

daniele_trdaniele_tr By daniele_tr - posted 29/10/2008 11:21

a me non mette paura lui ma chi continua a dargli privilegi d accesso superiori al poter aprire un programma di scrittura...

NikNik By Nik - posted 29/10/2008 20:09

D. non ti chiedo di anticiparci il seguito di questa vicenda (so che c'è), ma -ti prego- non dirmi che dopo avergli (ri)tolto i privilegi glieli hanno (ri)(ri)dati...
Fino ad ora non l'ho piu' risentito. Ma io tengo il cornetto antisfiga sempre a portata di mano.

skorpionskorpion By skorpion - posted 30/10/2008 06:41

Arrivo tardi sta settimana avrei una considerazione:

il cl non puo' aver messo il sito phising volutamente, ergo il server e' al 99% bucato. quindi la cancellazione della bash history prima dell'ultima sessione di lavoro, siamo proprio sicuri che l'abbia fatta il cl?
Se tu vuoi vedere che cosa ha fatto uno negli ultimi giorni, cosa fai? Guardi nel backup no? Si' e' proprio farina del suo sacco...
cmq per RImettere nelle mani un server di produzione a uno che aveva fatto rm -rf .* bisogna essere sadici, ma sadici forte!

DavideDavide By Davide - posted 30/10/2008 16:59

non c'entra niente con l'articolo ma ti vorrei chiedere un consiglio.... Possibile che quando descrivo agli altri il mio lavoro (sistemista) mi dicono sempre: "Ah bene! cosė quando ho problemi al mio picci' chiamo te"?

Ti capita mai?
si
Cosa gli rispondi in questi casi?
no

AleAle By Ale - posted 31/10/2008 19:05

@Davide
Risposta alternativa:
"Se e' GNU/Linux volentieri", cosi' ti togli il 90% dei questuanti.

AleAle By Ale - posted 31/10/2008 19:06

E se CL fosse stato cosi' babbeo da farsi fregare la passwd dal pisher di turno che gli ha opportunamente modificato lo script di login?
Fantascienza?

AndreaAndrea By Andrea - posted 31/10/2008 19:06

@all:
dopo 4 mesi del nuovo lavoro finalmente è arrivata la fatidica telefonata!
-CL: non funziona il router!
-Io: è acceso?
-CL: perchè, lo devo accendere?
i router che uso io non sono da accendere, basta collegarli alla corrente....

denisdenis By denis - posted 03/11/2008 08:48

@Ale
Risposta alternativa:
"Se e' GNU/Linux volentieri", cosi' ti togli il 90% dei questuanti.

Stima conservativa, direi anche 99,999%

70 messages this document does not accept new posts

Previous Next

Copyright

This site is made by me with blood, sweat and gunpowder, if you want to republish or redistribute any part of it, please drop me (or the author of the article if is not me) a mail.

This site was composed with VIM, now is composed with VIM and the (in)famous CMS FdT.

This site isn't optimized for vision with any specific browser, nor it requires special fonts or resolution.
You're free to see it as you wish.

Web Interoperability Pleadge is this a valid html document? Support This Project