Storie dalla Sala Macchine

Home Page | Commenti | Articoli | Faq | Documenti | Ricerca | Archivio | Storie dalla Sala Macchine | Contribuire | Imposta lingua:en it | Login/Register

Cos'e' sta' roba?

Qualche tempo fa, un po' annoiato, mi sono messo a scrivere quello che succede nel mio ufficio. Rimuovendo i nomi per proteggere i colpevoli. Le "storie", pubblicate inizialmente sul gruppo it.comp.os.linux.sys, hanno trovato ricezione favorevole. Onde per cui, ho deciso di "preservarle" per i posteri.

Personaggi usuali:

IO - Sono io.
CL - Clueless Luser, normale utente, non capisce un tubo di computer anche se dovrebbe usarli, ma pensa di saperne molto di piu'.
UL - Uber Luser, manager di primo livello o project-manager, non ne sa molto di piu' (qualche volta di meno), ma prende il doppio di stipendio.
SL - SuperLuser, manager di livello elevato. Vedi sopra.
SUSL - Super-Ultra-Super-Luser, CEO o simile.
HR - Human Resource, persona impiegata nell'Amministrazione del Personale.
Bob - Tutto il personale del supporto tecnico si chiama Bob. Seriamente.

Vedi anche le FAQ.

Io phisho, tu phishi, egli...

Ed eccoci di nuovo a narrare le disavventure del swerver di CL, ne sentivate la mancanza? Io no. Decisamente. Allora, dopo la totale debacle, l'attivita' di amministrazione era stata ripassata a noialtri, ma dopo un po' CL era stato ri-autorizzato ad accedere al server e fare danni apportare modifiche alla configurazione.

Ovviamente noialtri stavamo scommettendo su quando sarebbe capitato il successivo cataclisma. Cataclisma che non ha tardato a verificarsi.

Stamani infatti ricevo una mail da $isp che dice (piu' o meno):

Warning! Il vostro account XYZ per il server $serverdiCL e' stato sospeso
in quanto abbiamo rilevato che tale server ospita un sito di phishing.
Per ulteriori informazioni vedere...

E giu' una sfilza di riferimento di che roba e' il "phishing". Che io non devo dirvelo eh?.

Quello che purtroppo e' mancante in questa dannata mail e' dove accidenti sta il 'sito' incriminato tra i millemila siti che sono ospitati in quella maledetta macchina.

Comincio percio' con il fare login sul swerver e vedere che accidenti ha fatto CL negli ultimi 3 o 4 giorni. E gia' vedo una cosa che non mi garba manco un po'. Pare che ultimamente CL abbia imparato cosa e' ".bash_history". In particolare ha imparato a fare un "rm .bash_history" come primo foxxuto comando ogni volta che fa login.

Vado a vedere quali sono i siti modificati negli ultimi 3-4 giorni, una caterva (ovviamente). Ok, cosi' non arrivo a niente. E' il momento di prendere in mano il telefono. Comincio percio' con una bella telefonata a $helldesk_di_isp per sapere quale e' l'URL di quel sito di phishing, zappo via l'intero sito (dopo averne fatto un bel backup) e poi procedo con una bella mail ad UL (capo di CL) spiegando il come, il cosa ed il perche' e quindi mi metto in attesa dell'ecatombe.

Un paio di ore dopo suona il telefono...

UL - Sono UL.
IO - Salve, aspettavo la chiamata.
UL - Si, ma io non ho mica capito il problema...
IO - Allora, lei lo sa che cosa vuole dire "phishing" vero? (pensando: che se non lo sai cosa cazzo ci fai a fare il capo dell'ICT di una ditta che rivende spazio su interdet?)
UL - Si'... credo...
IO - Bene, pare che uno dei siti che sono ospitati sul vostro server sia un sito di phishing che pretende di essere il portale di accesso di $notoistitutodicredito.
UL - Ma come e' possibile?
IO - Tiro ad indovinare: un CL a caso ha fatto un'aggiornamento di uno dei siti tirando dentro delle schifezze che non avrebbe dovuto tirare dentro o ha installato una qualche cazzata che ha permesso a qualcun altro di installare la suddetta schifezza.
UL - Ma gli ho detto di stare attento a quello che fa!
IO - Infatti e' attentissimo a non lasciare tracce. Pare che adesso la prima cosa che fa quando fa login sia cancellare tutto lo storico dei comandi della volta precedente.
UL - Come sarebbe a dire?

Mettete qui, se vi pare, la spiegazione di che roba e' l'history dei comandi.

IO - ... quindi avendo rimosso l'history non sono in grado di dire che cosa e' stato fatto sul server.
UL - ...ho capito. Il sito lo avete trovato?
IO - Si', mi sono fatto dare gli estremi dall'ISP. Ma il problema non e' solo quello, non sapendo come questa roba sia entrata sul server c'e' sempre la possibilita' che il server sia stato 'bucato' e che vi siano software non autorizzati installati sopra. Io suggerirei una reinstallazione completa del server.
UL - ??? N'altra volta??
IO - E' l'unico modo di essere sicuri di aver rimosso qualunque schifezza dalla macchina. Ovviamente significa tenere il server off-line per una giornata.
UL - Grrr.... ho capito... quando e' che potete fare la reinstallazione?
IO - Hummm... devo vedere con Bart quando possiamo andare alla co-lo e portarlo in ufficio, credo fine settimana al piu' tardi.
UL - Ok, voi procedete e intanto che ci siete rimuovete la login di CL. Io adesso vado a rimuovere qualche cosa d'altro...

Shit, meet fan; fan, meet shit; have a nice day.

Davide
27/10/2008 00:00

Precedente Successivo

Commenti

I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.

70 messaggi this document does not accept new posts
Alessandro Porcu

Alessandro Porcu Di Alessandro Porcu postato il 27/10/2008 09:16

Cavolo, e' proprio de coccio quello li ...... Speriamo sia la volta buona che te lo levano dai piedi ... o chi vive sperando, muore ....... male ?

denis

denis Di denis postato il 27/10/2008 09:16

"rm .bash_history" ma allora SA di essere un babbuino... altrimenti che senso avrebbe piallarla? io l'ho portata a 10k perchè è troppo comoda.

Kaspa

Kaspa Di Kaspa postato il 27/10/2008 09:16

Rotoloni CL, non finiscono mai!

Thurill

Thurill Di Thurill postato il 27/10/2008 09:17

Credo di sapere che cosa sia andato a rimuovere...

Buona giornata Davide!

Mario

Mario Di Mario postato il 27/10/2008 09:17

Un problema in meno o attendi il suo sostituto che (Murphy e' li' che ti guarda eh...) sara' peggio dell'attuale?

z f k

z f k Di z f k postato il 27/10/2008 09:17

sara' mica arrivato il momento di far tenere una copia di .bash-history da qualche parte, in automatico? :\)

Massimo

Massimo Di Massimo postato il 27/10/2008 09:17

Ciao Davide ho scoperto il tuo sito qualche settimana fa e me lo sto leggendo tutto quanto giorno per giorno. Che dire, complimenti!
Premetto di aver letto le FAQ e sapere cosa sia FdT (so che ci tieni!) come mai non usi un cms o piattaforma di blog per pubblicare i contenuti? Che so, WordPress? Io lo trovo così comodo...



Se hai letto l'articolo sai perche'

C. Brogliato

C. Brogliato Di C. Brogliato postato il 27/10/2008 09:17

Ho come l'impressione che il CL in questione avrà un brutto quarto d'ora, la fiducia nel prossimo mi fa pensare che non ci saranno altre telefonate per far dare al CL la password di root.
Se non ricordo male non avevi fatto un back up al server la volta scorsa?

Luca Bertoncello

Luca Bertoncello Di Luca Bertoncello postato il 27/10/2008 09:17

Bellissimo quel "io adesso vado a rimuovere qualche cosa d'altro"!!!
Spero proprio (per voi) che intenda rimuovere la testa di CL dal suo collo...

Mauro

Mauro Di Mauro postato il 27/10/2008 09:17

Vedo che dopo mille peripezie il "noi non abbiamo fatto nulla" sembra iniziare a passare di moda.

Roberto

Roberto Di Roberto postato il 27/10/2008 09:17

Il fatto che CL cancelli la .bash_history come PRIMA cosa, e' indicativo di due fatti:
a. ha la oscienza sporca
b. e' un cretino (ma questo fatto era gia- noto a priori), perche' dovrebbe farla come anche come ULTIMA altrimenti, almeno l'ultima sessione di lavoro, resta tracciata.

che sia la volta buona che CL subisca un rm -f ? sperem!

franganghi

franganghi Di franganghi postato il 27/10/2008 09:17

mh, sempre così? non c'è pace per i dannati.

Maurizio

Maurizio Di Maurizio postato il 27/10/2008 09:17

> In particolare ha imparato a fare un "rm .bash_history" come primo foxxuto comando ogni volta che fa login.
Si fan sempre piu' furbi questi CL

yogurt

yogurt Di yogurt postato il 27/10/2008 09:17

Ahahahahah... sono alle lacrime =')

Sacripant

Sacripant Di Sacripant postato il 27/10/2008 09:17

Eccezionale...mi vedo UL in funzione Eraser (L'eliminatore) con il miTTico Arnold che va a rimuovere CL.
Dite che avrà fatto rm -Rf *.tfr di CL?

Certo che se sto CL perdesse il tempo per cercare di capire come funzionano le cose che fa invece di cercare di capire come far danni e nascondersi...ops non sarebbe più CL.

'giorno D. :\)

Michele Montanari

Michele Montanari Di Michele Montanari postato il 27/10/2008 09:18

n00b die on dead line...

andrea giocondi

andrea giocondi Di andrea giocondi postato il 27/10/2008 09:18

beh, forse per un pò di tempo avrai un problema in meno... Tutto sta nel capire QUANTO tempo

grick

grick Di grick postato il 27/10/2008 09:18

Chissa' se si fermano a due solo reinstallazioni o decidono di iterare il processo

Comunque invece di rimuovere il login di CL dovresti fare eseguire al suo login invece di bash un bello script che spedisce una mail al suo UL:
"Ciao UL, sono CL. Contravvenendo in pieno alle tue disposizioni, ho fatto il login sul server X :\)".

Steve

Steve Di Steve postato il 27/10/2008 09:18

Cacchio stavolta l'ha fatta grossa. C'è da dire che è anche un po' sfigato però.. alla prima cappellata i piscer gli bucano il sito in tempo zero l'isp lo sgama. Un viaggetto a Lourdes non gli farebbe male.

Cyber

Cyber Di Cyber postato il 27/10/2008 09:40

Cosa ha rimosso poi?

filsysadmin

filsysadmin Di filsysadmin postato il 27/10/2008 09:40

Non e che CL per mestiere fa il "pescatore" ? Anche perchè l'rm della history è un pelo sospetta.

Marco

Marco Di Marco postato il 27/10/2008 09:40

Come direbbe Murphy "I cretini sono sempre piu' ingegniosi delle precauzioni che si prendono per impedirgli di nuocere"....

o0Alessandro0o

o0Alessandro0o Di o0Alessandro0o postato il 27/10/2008 10:22

Bene, CL e' ancora piu' cretino di quanto pensassi. Se sai di aver fatto una vaccata, .bash_history mica la levi (dimostrando cosi' di avere la coscienza sporca): la "correggi"!

E' vero che dovresti sapere di che vaccata si tratta e, dato il tipo, mi sa che si rende conto di fare vaccate ma non ha idea di quali siano...

@Steve: che sia la prima cappellata e' un'ipotesi (peraltro estremamente ottimistica visto il track record di CL). Per quanto ne sappiamo, il sito e' probabilmente nella mystica posizione che, in Toscana, definiscono "buopillonzi". In costume adamitico. Con un tatuaggio "welcome" sulla schiena. In una prigione senza visite coniugali.

@D: ogni tanto si vede in che lingua pensi "Pretendere", in italiano, e' sinonimo di "esigere": io pretendo di essere pagato per il lavoro che faccio e il mio panettiere pretende di essere pagato per le michette. Buoni "false friends" a tutti...

Alessio

Alessio Di Alessio postato il 27/10/2008 10:22

E ora una nuova puntata di ... (signorina che mostra l'acconciatura) "CL vs D.". Ormai dovresti fare le magliette
"adotta anche tu un CL, cosi' ti risolleva la giornata quando sei triste".

Daniele

Daniele Di Daniele postato il 27/10/2008 10:22

Preparati Davide, il CL che lo sostituirà sarà peggio. Murphy non sbaglia. :\)

ALG

ALG Di ALG postato il 27/10/2008 10:22

Suggerimento per quando reinstalli il server, LVM con possibilità di fare Snapshot e scriptino che fa uno Snapshot di .bash_history prima di ogni rm... Messo in piedi su server lasciato mio malgrado a Pigs&Dogs e va da Dio...

Ciao

Tommaso

Tommaso Di Tommaso postato il 27/10/2008 10:22

ROTFL! :D
Quel CL è proprio coriaceo eh? Tenta pure di far sparire le prove...
Quoto l'idea di loggare la sua .bash_history altrove, sempre che il suo UL lo lasci vivo e gli renda il permesso di nuocere...

Daniele C.

Daniele C. Di Daniele C. postato il 27/10/2008 12:30

@filsysadmin
Questa cosa mi fa pensare: 'sto pirla non sapeva fare neanche un rm ed ora ha appreso cos'è .bash_history, dove trovarlo e come rimuoverlo in un colpo solo... non è che CL si è detto "dato che non sono molto bravo, perché non lo faccio fare al mio nuovo amico che ho conosciuto in un Pub l'altra sera, il cui nome non mi ricordo, ma mi ha detto che è TAAANTO bravo?" e gli ha dato le password di Root?
Ricordo il Principio di Napoleone: "Non imputare a malafede, quello che puoi essere imputato ad imbecillità"


Posso farti notare che rm lo sapeva fare bene... anche troppo bene...

Jurghen

Jurghen Di Jurghen postato il 27/10/2008 12:30

<battutascontata>
Questa volta CL ha proprio phishato fuori dal vaso!
</battutascontata>

Antonio

Antonio Di Antonio postato il 27/10/2008 12:31

Ma son diventati veramente così furbi i CL da droppare la bash history? Addirittura il tizio sa a cosa serve bash_history??
Sicuro che da una falla di uno dei demoni in ascolto verso l'esterno non son riusciti ad ottenere i privilegi di root?
In questi casi solitamente la prima cosa è modificare il file di profilo per fare il rm dell'history per rendere la vita un pelo più difficile a noi sysadmin..
PS: Tnk per farmi iniziare in allegria i lunedì :\)

Daniele C.

Daniele C. Di Daniele C. postato il 27/10/2008 12:31

@Marco
Mi ricorda un "Responsabile" in un posto dove abbiamo fatto un'installazione di un nostro filtro per internet. Non sto a ripetere tutta la storia, ma, sostanzialmente, diceva che è inutile usare delle procedure per limitare gli utenti, dato che loro erano sempre un passo avanti, era meglio lasciargli fare quello che volevano, che si faticava di meno. Se non gli ho detto quello che realmente pensavo è stato un miracolo.

mic

mic Di mic postato il 27/10/2008 12:31

uno che elimina la history ha la cosicienza sporca.
che poi se non erro facendo la rm di .bash_history la nuova history inizia proprio con il comando della rm. che pirlotto

Maurizio

Maurizio Di Maurizio postato il 27/10/2008 12:31

Nooooooo... e adesso che rimuovono il CL, hai perso una delle fonti migliori delle tue storie!!! o hai semplicemente risolto il problema alla fonte? :-\)
complimenti. è sempre un piacere passare di qua tutti i lunedì :-\)

Davide Inglima - limaCAT

Davide Inglima - limaCAT Di Davide Inglima - limaCAT postato il 27/10/2008 12:31

Quando collaboravo con una distro linux veniva usata una patch su tutte le shell che scriveva (in append) un simpatico file dal nome "1" nella $HOME dell'utente e che metteva tutto il log in scrittura. Tale file inoltre era leggibile da tutti ma non cancellabile da nessuno (e in particolare solo scrivibile dalle shell). Ovviamente un programma c qualsiasi poteva battere la limitazione, ma sospetto che quel file 1 onnipresente in $HOME fosse lì solo per dirti "stai buono perché tanto ne abbiamo un altra copia da un altra parte".
Una patch similare é questa, ma non l'ho usata.
http://e133.enemy.cx/xSH-paranoia/

Eugenio D.

Eugenio D. Di Eugenio D. postato il 27/10/2008 12:32

Quanto tempo passerà prima che gli ridiano il log-in sulla macchina alias la distrugga un altra volta? Il tutto considerando che vedendo la precedente esperienza la cosa succederà sicuramente.

LG

LG Di LG postato il 27/10/2008 12:32

E' piu' probabile che chi ha bucato l'account di CL faccia rm .bash_history appena loggato.
Mai sopravvalutare un CL.

WheatMaster

WheatMaster Di WheatMaster postato il 27/10/2008 12:32

>>...come primo foxxuto comando ogni volta che fa login.

Coda di paglia grande come una casa. Come quando si cancella la cronologia del browser dopo essere andati su siti di donnine...

Kurgan

Kurgan Di Kurgan postato il 27/10/2008 12:32

Per non lasciare tracce di una sessione in .bash_history, la soluzione piu` semplice e` quella di non chiudere la sessione con un "exit" ma con un "kill -9" del pid della propria shell. Cosi` facendo la history della sessione che si e` appena conclusa non viene scritta, lasciando tuttavia li` le precedenti. Che poi si vede lo stesso che hai fatto login perche` ci sono i dati in wtmp, ma comunque...

Paolo C.

Paolo C. Di Paolo C. postato il 27/10/2008 12:32

Nelle immortali parole di Gino Bramieri: dopo averne mangiato tre piatti ha capito che era risotto. Vale sia per il luser-wannabe-sysadm che per il suo responsabile, ma del primo non
sono sicuro.

Giepi

Giepi Di Giepi postato il 27/10/2008 12:32

Mah... adesso dovendo reinstallare riprenderai lo stato dei siti ospitati da backup, perdendo le modifiche? Io avrei cmq paura di infezioni anche nel codice di quei siti oramai...

TheMule

TheMule Di TheMule postato il 27/10/2008 12:32

Secondo me anche senza LVM per quel CL basta mettere HISTFILE=~/.pipppero in qualche script di sistema (/etc/bashrc per intenderci), e fargli trovare un fake .bash_history ogni volta che si collega, in modo da non insospettirlo.

Ma sarebbe ancora più divertente un chattr +i sul finto .bash_history e poi godersi dei suoi tentativi di rimuoverlo (ovviamente leggendoseli da ~/.pipppero). Si insospettisce di sicuro, ma il divertimento è assicurato. :\)

Mauro

Mauro Di Mauro postato il 27/10/2008 12:32

La domanda ora è: quanto tempo passerà prima che riassegneranno la password al CL? :D

spacexplorer

spacexplorer Di spacexplorer postato il 27/10/2008 12:33

ih ih ih, non me la prenderei troppo: i siti di fishing sono utili! Si vedono (almeno tutti quelli che mi sono capitati) ad un Km, cosiccome le mail che ti mandano. Se la gente e` cretina ben gli sta`, il problema e` che il nostro sistema sociale trasforma i cretini in vittime.
@ALG mica puoi snapshottare (e spedire lo snap, se no ti cancella anche lui) a ogni login, oltre a tutto dovresti snapshottare tutti i volumi.
PS
nei srv che amministro io ho $HISTFILE a /dev/null (per me), la history è solo in memoria sino al logout; per gli altri script ben messo (il programma, non uno script) :\)

Palin

Palin Di Palin postato il 27/10/2008 13:28

@mic
Sì, a meno che tu non faccia rm .bash_history con un'altra shell... :\)

Mg

Mg Di Mg postato il 27/10/2008 13:28

Cioè... no... MA QUANTI DANNI HA INTENZIONE DI FARE!!!

filsysadmin

filsysadmin Di filsysadmin postato il 27/10/2008 14:13

@Daniele C.
Può essere ma solo se l'amico gli ha mostrato il biglietto truffaldino MAGO G GALBUSERA Cracker professionista.
No troppe e poi fai vaccate non insabbi come già detto precedentemente correggi se poi non sai correggere o altro allora Come suggerito di nuovo sopra UL-SUBzero ti potrebbe "carezzare".

NetWorm

NetWorm Di NetWorm postato il 27/10/2008 15:09

@Alessio:
sarebbe meglio "Salva un server, uccidi un CL!"

@Davide:
in effetti la history non dovrebbe rimuoverla alla fine della sessione?

@all:
dopo 4 mesi del nuovo lavoro finalmente è arrivata la fatidica telefonata!
-CL: non funziona il router!
-Io: è acceso?
-CL: perchè, lo devo accendere?

Max

Max Di Max postato il 27/10/2008 15:54

No, dai, non e' possibile... per me quell'ssere ha una password tipo "password" (o se si è davvero evoluto, il nome del cane) bucabile in 3 secondi dal primo fetente che passa e si trova casualmente per le mani un sitarello che ha bisogno di hosting... uno che sa che esiste .bash_history non e' cosi' pirla da avere un sito di phishing senza saperlo. Inutile cercare motivazioni esoteriche per fenomeni spiegabili semplicemente con "CL e' imbecille"...

Micky

Micky Di Micky postato il 27/10/2008 17:24

Io farei così per cancellare le tracce automaticamente:
o metto in ~/.bashrc HISTFILESIZE=0 oppure, che mi pare più divertente, echo rm -f ~/.bash_history > ~/.bash_logout

Ciao, Micky

Valerio L.T.

Valerio L.T. Di Valerio L.T. postato il 27/10/2008 19:15

Ciao Davide! Mi sa che sto CL è più duro di un virus eh?! Ma non ho capito bene l'ultima frase di UL "Io adesso vado a rimuovere qualche cosa d'altro..." non mi dire che lo ucciderà?!

Stammi bene!!! Valerio

Sacripant

Sacripant Di Sacripant postato il 28/10/2008 08:41

Eheh mi sa che oggi D. era ben incasinato dato che ha "aggiunto" commenti ai nostri commenti.
Direi che oggi potrebbe essere stata una giornata memorabile per le storie di D. Aspetteremo per vedere!!!


Io aggiungo spesso commenti ai vostri commenti, questo qui per esempio

denis

denis Di denis postato il 28/10/2008 08:41

vorrei far notare che conoscere .bash_history non è una gran cosa e che:

1) il tizio la shell già la conosceva visti i danni che ha fatto, è un wannabe-sysad, la nomina di CL gli è arrivata non perchè non sapesse COME fare QUALCOSA ma perchè non aveva la più pallida idea di cosa stesse facendo, IMHO

2) la prima cosa che un CL impara è come fare danni e come cancellare le tracce, guardate un lab di informatica delle superiori e ne avrete le prove.. su 25 persone 3 sanno fare qualcosae le altre 22 sanno cancellare le tracce dei misfatti purchiedendo (testuali parole) "ma quando installo windows devo installare anche il cestino?"

Sacripant

Sacripant Di Sacripant postato il 28/10/2008 08:55

Ops avevo dimenticato un "poco" nella dicitura aggiunto...ho stravolto il significato della frase. Sto organizzando un pulmino per Lourdes o Caravaggio qualcuno è interessato!?


Ti posso dare un paio di CL da buttare nella piscina? fa lo stesso se non li riporti piu' indietro.

Paolo C.

Paolo C. Di Paolo C. postato il 28/10/2008 09:34

(per denis) Gli si poteva rispondere: installa prima il cestino e mettitici dentro.

ReadOnly

ReadOnly Di ReadOnly postato il 28/10/2008 13:13

@Paolo C.: da aggiungere "tenendo premuto Shift", prima che qualcuno lo recupera...

meksONE

meksONE Di meksONE postato il 28/10/2008 13:45

grandioso... semplicemente grandioso. ODE a CL! :D

Sacripant

Sacripant Di Sacripant postato il 28/10/2008 15:00

Credo fortemente di voler essere tuo discepolo D.
Un giovine e aspirante Youngling, per poter conoscere ed imparare ad utilizzare tutti gli aspetti più reconditi dello sForzo/a...poter controllare le menti dei CL, configurare SpaghettiNetwork, depistare pescatori di frodo (phisher), ma soprattutto per sopravvire (nonostante assenza di spirito motociclista anche se adoro le moto) al tuo progetto finale eheh...

Che lo sforzo sia con te...

Dom

Dom Di Dom postato il 28/10/2008 15:33

shit meet fan...

Manuel

Manuel Di Manuel postato il 28/10/2008 20:14

Ti seguo da anni ma questa storia mi ha veramente sbalordito. Come dice il proverbio?Errare umanum est, perseverare ovest :lol:

Paolo C.

Paolo C. Di Paolo C. postato il 28/10/2008 20:14

Per spacexplorer: ognuno di noi può rimanere VITTIMA di un lavoro mal eseguito o non eseguito affatto, per il quale abbiamo però corrisposto quanto ci è stato chiesto. L'esempio è calzante in quanto dimostra che siamo tutti frodabili, basta solo trovare chi si accorge della nostra ignoranza in uno specifico ambito. Mi auguro che tu possa ripensare a quanto hai scritto.

tillo

tillo Di tillo postato il 29/10/2008 08:27

denis dice:
> [...] io l'ho portata a 10k perchè è troppo comoda.
Anche io a casa lascio 10K... ma sui server esposti preferisco fare "unset HISTFILE" ad ogni login.
Motivo? Un modo in più per capire immediatamente quando qualcuno che non sono io avvia una shell; e in ogni caso non c'è comando che faccio sui server che non conosca a memoria o che non lasci una traccia (pertanto un'history è inutile). Se devo ricordarmi una procedura faccio uno script o un mini-howto. Gli errori cerco di evitarli a priori ;\)
Sono un analista di sicurezza e l'esperienza insegna: la maggior parte delle intrusioni sono effettuate da ragazzini che non sanno cosa stanno facendo, e una buona parte degli "exploit" locali o remoti pubblici usano shellcode che non si occupano di modificare $HOME o $HISTFILE quando fanno partire "/bin/sh"... da qui ad un bel resoconto delle azioni perpetrate dall'intruso nel .bash_history il passo è breve.


Sull'ultima parte devo concordare.

spacexplorer

spacexplorer Di spacexplorer postato il 29/10/2008 08:28

@Davide
scusa per il (lungo) replay diretto


#ifndef flame
@Paolo C.
l'ho detto in senso ironico (l'"ih ih ih"). Quello che dici e` vero,
mi sembra pero` che nella nostra societa` la maggior parte delle cose funzioni sull'ignoranza del prossimo: solo nell'informatica quanti si fanno del sangue marcio per cercare di convincere un cliente che "cosi` non va", che "e` opportuno si faccia questo e questo" ecc?
E chi "la spunta" di solito? Continuero` sino all'ultimo a spiegare,
cerare di far capiere, ma vedo i risultati. Ci sono ambiti in cui sono io dalla parte dell'utente, ma cerco di essere il piu` critico possibile (trust is a weakness, confermo sulla mia pelle) non piango se mi fregano: impreco. Se sono io il responsabile sono pronto a pagare. Casi come questo sono anche utili, secondo me, quale monito per chi pensa di poter vivere nel paese delle meraviglie.
#endif

daniele_tr

daniele_tr Di daniele_tr postato il 29/10/2008 11:21

a me non mette paura lui ma chi continua a dargli privilegi d accesso superiori al poter aprire un programma di scrittura...

Nik

Nik Di Nik postato il 29/10/2008 20:09

D. non ti chiedo di anticiparci il seguito di questa vicenda (so che c'è), ma -ti prego- non dirmi che dopo avergli (ri)tolto i privilegi glieli hanno (ri)(ri)dati...


Fino ad ora non l'ho piu' risentito. Ma io tengo il cornetto antisfiga sempre a portata di mano.

skorpion

skorpion Di skorpion postato il 30/10/2008 06:41

Arrivo tardi sta settimana happy avrei una considerazione:
il cl non puo' aver messo il sito phising volutamente, ergo il server e' al 99% bucato. quindi la cancellazione della bash history prima dell'ultima sessione di lavoro, siamo proprio sicuri che l'abbia fatta il cl?


Se tu vuoi vedere che cosa ha fatto uno negli ultimi giorni, cosa fai? Guardi nel backup no? Si' e' proprio farina del suo sacco...


cmq per RImettere nelle mani un server di produzione a uno che aveva fatto rm -rf .* bisogna essere sadici, ma sadici forte!

Davide

Davide Di Davide postato il 30/10/2008 16:59

non c'entra niente con l'articolo ma ti vorrei chiedere un consiglio.... Possibile che quando descrivo agli altri il mio lavoro (sistemista) mi dicono sempre: "Ah bene! così quando ho problemi al mio picci' chiamo te"?
Ti capita mai?


si


Cosa gli rispondi in questi casi?


no

Ale

Ale Di Ale postato il 31/10/2008 19:05

@Davide
Risposta alternativa:
"Se e' GNU/Linux volentieri", cosi' ti togli il 90% dei questuanti.

Ale

Ale Di Ale postato il 31/10/2008 19:06

E se CL fosse stato cosi' babbeo da farsi fregare la passwd dal pisher di turno che gli ha opportunamente modificato lo script di login?
Fantascienza?

Andrea

Andrea Di Andrea postato il 31/10/2008 19:06

@all:
dopo 4 mesi del nuovo lavoro finalmente è arrivata la fatidica telefonata!
-CL: non funziona il router!
-Io: è acceso?
-CL: perchè, lo devo accendere?
i router che uso io non sono da accendere, basta collegarli alla corrente....

denis

denis Di denis postato il 03/11/2008 08:48

@Ale
Risposta alternativa:
"Se e' GNU/Linux volentieri", cosi' ti togli il 90% dei questuanti.

Stima conservativa, direi anche 99,999%

70 messaggi this document does not accept new posts

Precedente Successivo

Copyright

Il presente sito e' frutto del sudore della mia fronte (e delle mie dita), se siete interessati a ripubblicare uno degli articoli, documenti o qualunque altra cosa presente in questo sito per cortesia datemene comunicazione (o all'autore dell'articolo se non sono io), cosi' il giorno che faccio delle aggiunte potro' avvisarvi e magari mandarvi il testo aggiornato.

Questo sito era composto con VIM, ora e' composto con VIM ed il famosissimo CMS FdT.

Questo sito non e' ottimizzato per la visione con nessun browser particolare, ne' richiede l'uso di font particolari o risoluzioni speciali. Siete liberi di vederlo come vi pare e piace, o come disse qualcuno: "Finalmente uno dei POCHI siti che ancora funzionano con IE5 dentro Windows 3.1".

Web Interoperability Pleadge Support This Project
Powered By Gojira