sicurezza

13 risposte [Ultimo messaggio]
Ritratto di giuliocesare9
giuliocesare9
(Junior)
Offline
Junior
Iscritto: 05/06/2005
Messaggi: 6

salve a tutti...
ieri mi sono accorto di avere probabilmente (comunque non noto malfunzionamenti o altro) un problema. da pessimo utente del pinguino che comunque troppo spesso utilizza (sono sempre connesso al web, avendo un pacchetto adsl flat) i privilegi di root, per ovviamente installare e compilare, che volontariamente ha disabiliatto il firewall perchè altrimenti non riusciva a downloadare a palla con l' hybrid, solo ieri, a distanza di mesi dalla mia entrata nel momdo di linux attraverso la suse ho iniziato a leggere qualcosa sulla sicurezza.
giusto per curiosita digito xauth list e mi compare scritto:
host123-219.pool80180.interbusiness.it:0 MIT-MAGIC-COOKIE-1 *************
host123-219.pool80180.interbusiness.it:0 XDM-AUTHORIZATION-1 *************
gli asterischi ovviamente li ho aggiunti io ora per coprire quelle chiavi che NON HO DATO A NESSUNO!!!
se poi il comanto xauth list lo do da root compare sempre sto maledetto interbusiness.
c' è qualche anima pia che può aiutarmi, dato che ho la "vaghissima" sensazione di sentirmi osservato???

Ritratto di Federico
Federico
(Monster)
Offline
Monster
Iscritto: 29/12/2004
Messaggi: 236

Scusa ma vai a prendere a calci un alveare e poi ti lamenti se le api ti pungono ???
1)ti consiglio di formattare e reinstallare visto che potrebbero esserci rootkit e potresti perdere una vita solo per trovarli
2)non loggarti MAI e poi MAI come root
3)tieni sempre attivo il firewall
4)controlla spesso gli aggiornamenti per la sicurezza
5)opzionale denuncia l'ingresso non autorizzato alle autorità competenti
6)NON LOGGARTI MAI E POI MAI COME ROOT !!!
se queste cose vengono ripetute più e più volte non è per rendere la vita difficile a chi si avvicina a linux ma è solo per aiutarli a evitare casini simili.

Prova a pensare se magari sei uno di quelli che gestiscono il proprio conto corrente tramite internet (io lo faccio ed è comodissimo), chiunque entri nel tuo pc potrebbe accedere al tuo conto e fregarti i soldi.

Ritratto di giuliocesare9
giuliocesare9
(Junior)
Offline
Junior
Iscritto: 05/06/2005
Messaggi: 6

a dire il vero mi sono definito un pessimo utente e non mi sto di certo lamentando per una situazione che io stesso ho creato con le mie stesse mani. semplicemente sto cercanco, ammesso che vi sia, una soluzione e possibilmente vorrei evitare situazioni drasticamente windozziane come una riformattazione in toto.
a proposito di rootkit, ho scaricato un programmino, che comunque non mi ha rilevato niente. stesso dicasi con l' antivisur "antivir" che ha trovato solo warning sull' harddisk di windows.
un' ultima cosa questo interbusiness ecc ecc lo trovo anche con iptables -L |grep interbusiness
comunque, nonstante i toni (giustamente) feroci grazie per la risposta

Ritratto di giuliocesare9
giuliocesare9
(Junior)
Offline
Junior
Iscritto: 05/06/2005
Messaggi: 6

ah, un ultima cosa l' utente root lo uso solo digitando su da console, non avviando il desktop come root, anche se sinceramente non so se ciò faccia differenza

Ritratto di Gatto333
Gatto333
(Monster)
Offline
Monster
Iscritto: 21/03/2005
Messaggi: 230

scusate la totale ignoranza a riguardo, cosa dovrebbe restituire il comando "xauth list" ,e da cosa si capisce se qualcuno ti è entrato nel pc?
ciao

Ritratto di giuliocesare9
giuliocesare9
(Junior)
Offline
Junior
Iscritto: 05/06/2005
Messaggi: 6

mah, guarda mi capirebbe tanto capirci qualcosa! per quel poco che ho capito xauth serve per autorizzare connessioni da remoto, come si fa a capire se qualcuno ti è entrato nel pc...boh!
mi piacerebbe trovare qualcuno che ci capisca veramente e sappia darti dei consigli in modo per quanto possibile chiaro. ovviamente se dici di avere dei problemi o dei sospetti per aver tenuto in passato una condotto troppo "lasciva" subito sei attaccato come una pazzo, senza possibilità di redenzione.
ma io mi voglio redimere!
padre pinguino che sei installato nel mio pc perdona i miei peccati!

Ritratto di ap1978
ap1978
(Guru)
Offline
Guru
Iscritto: 01/10/2004
Messaggi: 2972

Quote:

Gatto333 ha scritto:
scusate la totale ignoranza a riguardo, cosa dovrebbe restituire il comando "xauth list" ,e da cosa si capisce se qualcuno ti è entrato nel pc?
ciao

Qualcosa di questo tipo, se non autorizzi nulla e nessuno:

nomePC/unix:0 MIT-MAGIC-COOKIE-1 *******************
localhost.localdomain/unix:0 MIT-MAGIC-COOKIE-1 *******************

P.S. Le connessioni remote ad X sono disabilitate di default in SuSE. Comunque puoi fare i settaggi premendo F10 al login (almeno se usi gdm è così), e settare tutto comodamente per via grafica.

In ogni caso, visto che qualche problema probabilmente c'è stato, la formattazione è l'unica soluzione. E togli le zampine da root :-P

Ciao

ap Big Grin

Ritratto di giuliocesare9
giuliocesare9
(Junior)
Offline
Junior
Iscritto: 05/06/2005
Messaggi: 6

accidenti mi ero sbagliato e avevo aperto una nuova discussione con questo messaggio. scusate non voglio apparire maleducato, ripeto dunque il messaggio(questo è il primo forum della mia vita):

ragazzi, innanzitutto grazie per l' interessamento e a federico soprattutto dico che è comprensibile il suo tono di disappunto. in futuro se vedrò qualcuno ripetere i miei stessi errori...beh non vorreste essere nei suoi panni...
comunque, se proprio dovrò, per sicurezza, resistallare il tutto, almeno prima voglio capire qualcosina su ciò che potrebbe essere successo. qui di seguito vi faccio leggere cosa hanno prodotto 20 secondi di netsat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 host229-158.p:kar2ouche host80-37.pool829:62857 ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche host222-25.pool6:aftmux ESTABLISHED
tcp 0 22620 host229-158.p:groupwise 201.246.136.133:4662 ESTABLISHED
tcp 0 83 host229-158.p:kar2ouche awq38.neoplus.adsl:1044 ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche host237-:creativepartnr ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche bne75-2-82-6:metricadbc ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche host68-117.poo:hpstgmgr ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche host34-2:ipether232port ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche bne75-2-82-6:metricadbc ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche host68-117.poo:hpstgmgr ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche host34-2:ipether232port ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche host12-209.pool801:rsip TIME_WAIT
tcp 0 0 host229-158.p:kar2ouche host252-17.pool82:21064 ESTABLISHED
tcp 0 1 host229-158.p:kar2ouche host203-171.po:simba-cs FIN_WAIT1
tcp 0 0 host229-158.p:kar2ouche host71-98.pool801:23794 ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche adsl-ull-39-17.46:aztec ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche dyn-83-153-90-13.p:4526 ESTABLISHED
tcp 0 1 host229-158.p:kar2ouche chello0621782:kar2ouche LAST_ACK
tcp 0 0 host229-158.p:kar2ouche avelizy-153-:varadero-0 ESTABLISHED
tcp 0 0 host229-158:netopia-vo2 host8-176.pool8252:4662 ESTABLISHED
tcp 0 0 host229-158.po:ardusuni adsl-ull-141-14.49:4662 ESTABLISHED
tcp 0 25 host229-158.p:kar2ouche adsl-139-220.38-15:2208 ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche cha-gw-0:ibm-diradm-ssl ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche 99.red-80-25-104.p:4540 ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche cybpc244.man.lubli:4270 ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche rev-82-102-36-186:41834 ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche host17-123.po:jdmn-port ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche 194.230.113.78:4084 ESTABLISHED
tcp 0 0 host229-15:hypercube-lm razorback.ed2:kar2ouche ESTABLISHED
tcp 0 0 host229-158:direcpc-dll b-104-72-adsl.red.:4662 ESTABLISHED
tcp 0 0 host229-15:tunstall-pnc host126-131.pool80:4662 ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche host227-188.p:fjdocdist ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche host-84-222-133-11:mzap ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche host88-20:net-assistant ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche d83-176-73-16.:integral ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche host2-18:magaya-network ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche adsl-61-227.3:skytelnet ESTABLISHED
tcp 22 0 host229-158.p:kar2ouche adsl-ull-108-13:nbx-dir ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche adsl-ull-:oce-snmp-trap ESTABLISHED
tcp 0 0 host229-158.p:kar2ouche host62-140.pool82:38959 ESTABLISHED

ps ho un programma di filesharing in funzione per cui ho aperto con guarddog sia da internet che da locale (sennò non funzionava) le porte appropriate (dunque ora ho un firewall(meglio tardi...))

Ritratto di leo72
leo72
(Guru)
Offline
Guru
Iscritto: 27/12/2004
Messaggi: 689

Questo 3d sulla sicurezza è interessante...
Dunque, ho provato ad aprire una console come utente normale ed ho inserito xauth list. Questo è quello che è venuto fuori:
10.0.0.12:0  MIT-MAGIC-COOKIE-1  ************<br />[fe80::20a:48ff:fe0b:be7]:0  MIT-MAGIC-COOKIE-1  ************<br />linux/unix:0  MIT-MAGIC-COOKIE-1  ****************<br />
Se faccio la stessa cosa come root (comando su) ottengo:
linux.site:0  MIT-MAGIC-COOKIE-1  ***************<br />linux.site/unix:0  MIT-MAGIC-COOKIE-1  ***************<br />

Questo cosa significa? Che ho avuto un tentativo di intrusione oppure che ho subìto un'intrusione? :-o
Premetto che ho tenuto sempre attivato un firewall per difendere il mio sistema (inizialmente, quello HW del modem con quello SW di Suse, poi ho disabilitato questo ed attivato GuardDog) ma che ho alle volte cambiato utente aprendo una sezione di KDE come root.

Leo.
------------------
Scegli software open-source: il mio sistema Suse Linux esegue OpenOffice, Mozilla Firefox e Thunderbird, The Gimp...

Ritratto di leo72
leo72
(Guru)
Offline
Guru
Iscritto: 27/12/2004
Messaggi: 689

Mi sorgono dei dubbi...
Da pochi giorni ho installato la SUSE 9.3 dopo aver FORMATTATO tutto.
Non ho MAI (ripeto: MAI) lanciato una sessione di KDE come root ma ho sempre eseguito i comandi che richiedevano permessi da amministratore tramite console e login con su.

Eppure, nonostante la "verginità" della mia installazione, ottengo sempre i famigerati messaggi:
leo@linux:~&gt; xauth list<br />10.0.0.12:0  MIT-MAGIC-COOKIE-1  **********<br />[fe80::20a:48ff:fe0b:be7]:0  MIT-MAGIC-COOKIE-1  **********<br />linux/unix:0  MIT-MAGIC-COOKIE-1  **********<br />leo@linux:~&gt; sudo xauth list<br />Password:<br />10.0.0.12:0  MIT-MAGIC-COOKIE-1  *******<br />[fe80::20a:48ff:fe0b:be7]:0  MIT-MAGIC-COOKIE-1  ********<br />linux/unix:0  MIT-MAGIC-COOKIE-1  *********

I dubbi sono: non è che questo sia un comportamento "normale" di SUSE? Vale a dire, non è che questa connessione al sistema dipenda, ad esempio, da un servizio "lecito" (potrebbe essere, ad esempio, YOU)?

Leo.
------------------
Scegli software open-source: il mio sistema Suse Linux esegue OpenOffice, Mozilla Firefox e Thunderbird, The Gimp...

Ritratto di umountbrain
umountbrain
(Guru)
Offline
Guru
Iscritto: 15/01/2005
Messaggi: 611

Guarda, io ho solo il firewall hw del router. Ho provato anch'io e mi esce una cosa simile alla tua:

stefano@linux:~> xauth list
linux.site:0 MIT-MAGIC-COOKIE-1 xxxxxxxxxxxxxxxxxxxxxxx
[fe80::240:f4ff:fe6d:c3ae]:0 MIT-MAGIC-COOKIE-1 xxxxxxxxxxxxxxxxxxxxxxx
linux/unix:0 MIT-MAGIC-COOKIE-1 xxxxxxxxxxxxxxxxxxxxxxx
192.168.1.3:0 MIT-MAGIC-COOKIE-1 xxxxxxxxxxxxxxxxxxxxxxx
[fe80::240:f4ff:fe8e:895]:0 MIT-MAGIC-COOKIE-1 xxxxxxxxxxxxxxxxxxxxxxx
stefano@linux:~> su
Password:
linux:/home/stefano # xauth list
linux/unix:0 MIT-MAGIC-COOKIE-1 xxxxxxxxxxxxxxxxxxxxxxx
linux:/home/stefano #

Penso che sia una cosa normale.....nulla di cui allarmarsi....ma aspettiamo qualcuno di più esperto!! Wink