| Autore |
 Discussione  |
|
|
priska
Senior Member
Città: BOLZANO
108 Messaggi |
Inserito il - 09/10/2003 : 09:18:28
|
DA UN Pò CHE NEL FORUM NON SI PARLA DI VIRUS... SI SONO PRESI L'INFLUENZA????????
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 09/10/2003 : 10:44:56
|
Forse perche` e` da un po' che nessuno se ne becca di nuovi. Secondo il cert, dopo il worm SoBig.F e Swen.A, di cui se ne e` parlato un po' c'e` soltanto il *n QHosts e la variante QHosts-1, che va a influenzare il servizio DNS.
PS: Occhio al Caps-lock e al volume di quello che scrivi |
 |
|
|
Daitan3
Advanced Member
425 Messaggi |
Inserito il - 09/10/2003 : 11:00:26
|
assolutamente, dopo avere sentito parlare di NoTrace c'e' stato un fuggi fuggi mentre le truppe di NoTrace guidate da Admin sconfiggevano il vil nemico sulla linea gotica.
|
|
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 09/10/2003 : 11:31:17
|
La cosa triste è che l'anomalia è diventata l'assenza di nuovi virus invece che il contrario...
Ciao
Gimli |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 09/10/2003 : 11:45:54
|
| Vero, ma l'anomalia piu` grossa, a mio parere, e` che la gente si becca i virus e non fa nulla per accorgersi di averceli o per toglierli. Ad esempio, sul log del mio firewall continuo a vedere tentativi di connessione da parte di Blaster, la maggior parte dei quali proviene dagli IP 213.*.*.*, in cui ci sono un po' di ISP gratuiti. E questo anche se l'advisory del cert (CA-2003-20) e datato 11 agosto 2003 e rivisto per l'ultima volta il 14 agosto 2003 |
|
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 09/10/2003 : 13:36:06
|
Per non parlare dei martian:
[root moria alberto]# grep -c martian /var/log/messages
12962
Ormai se c'è qualche anomalia seria non me ne accorgo neanche più, c'è troppa sporcizia nei log.
Chissà se il nostro amico (non ricordo il nick), quello ce ci aveva spiegato l'origine di questi martian, ha qualche aggiornamento, magari gli posto un pvt.
Ciao
Gimli |
|
|
|
priska
Senior Member
Città: BOLZANO
108 Messaggi |
Inserito il - 09/10/2003 : 14:18:18
|
Magari l'amico senza nomi è stato rapito dai viruspia, miiiiiiii ATTENZIONE!!!!!!!
|
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 10/10/2003 : 08:36:16
|
Ehi, Gimli, i martian li rilevi con il firewall, giusto? Secondo te, la coppia di regole:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 127.0.0.1/8 -j DROP
sono sufficienti per identificarli e dropparli? |
|
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 10/10/2003 : 13:01:22
|
quote:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 127.0.0.1/8 -j DROP
Secondo me le regole sono ridondanti, io ho:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere localhost
LOG all -- anywhere anywhere limit: avg 5/min burst 5 LOG level warning prefix `KMF: '
I martian vengono correttamente identificati e bloccati dal kernel stesso, mi pare l'amico iok dicesse dove stavano le opzioni per il logging e la gestione dei nostri "alieni" in uno dei suoi post.
Ciao
Gimli |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 10/10/2003 : 16:24:52
|
La ridondanza e` dovuta al fatto che quello indicato e` solo una compressione di quello che avevo in mente di fare:
iptables -N MARTIAN
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 127.0.0.0/8 -j MARTIAN
iptables -A MARTIAN -j LOG --log-prefix "Martian packet: " --log-level debug --log-ip-options
iptables -A MARTIAN -j DROP
in quanto le mie regole di firewall smistano i pacchetti da droppare su catene separate in cui loggo e poi droppo, mentre quelli da accettare vengono accettati subito. In questo modo ho una suddivisione degli eventi nel log che trovo piu` comoda. I ritardi indotti dal firewall sono insignificanti rispetto alla velocita` del 56k.
PS: si sta andando un po' fuori topic, o sbaglio? In tal caso, sarebbe meglio dividere la discussione e proseguire su due topic diversi. |
|
|
|
priska
Senior Member
Città: BOLZANO
108 Messaggi |
Inserito il - 20/10/2003 : 17:21:58
|
arabo stà roba raga
|
|
|
| |
Discussione |
|
MA I VIRUS SI SONO ARRESI??
Forum Bloccato
