rilevante

Il 17/02/2012 20:17, Giorgio Bompiani ha scritto:
> In info() compare la riga "error_log | /var/log/php_errors.log |
> /var/log/php_errors.log"

Per due volte ?
Solo un valore settato, non due volte lo stesso.

Puoi provare a variare anche l'error_reporting ?

Attualmente dovresti avere questo:
--> error_reporting: 22527

Prova a settarlo in:
--> error_reporting: E_ALL

Riguardo il numero attuale o la costante E_ALL
può esserti utile consultare [1]

Visto le vulnerabilità che via via si stanno segnalando
e risolvendo con patch, ti consiglio di aggiornare
php come consigliato [2]

Rammenta di riavviare apache dopo le modifiche del php.ini

Dario

Il 17/02/2012 22:05, Dario ha scritto:
> Il 17/02/2012 20:17, Giorgio Bompiani ha scritto:
>> In info() compare la riga "error_log | /var/log/php_errors.log |
>> /var/log/php_errors.log"
>
> Per due volte ?
> Solo un valore settato, non due volte lo stesso.
2 volte perché ci sono due colonne nella tabella, ma io l'ho messo una
sola volta.
>
> Puoi provare a variare anche l'error_reporting ?
>
> Attualmente dovresti avere questo:
> --> error_reporting: 22527
>
> Prova a settarlo in:
> --> error_reporting: E_ALL
Mistero in phpinfo() compare 22527 come dici tu, ma in
"/etc/php5/apache2/php.ini" è scritto "error_reporting = E_ALL &
~E_DEPRECATED" mentre nel sito che mi indichi *E_ALL = 32767 .

*
>
> Riguardo il numero attuale o la costante E_ALL
> può esserti utile consultare [1]
>
> Visto le vulnerabilità che via via si stanno segnalando
> e risolvendo con patch, ti consiglio di aggiornare
> php come consigliato [2]
ho aggiornato gli 8 pacchetti che riguardano php ma senza risultato.
Aggiungo una cosa riguardo all'eventualità che il mio sistema sia stato
"bucato".
Da un po' di tempo ho notato che il pc sembra di tanto in tanto
improvvisamente occupato in attività pesanti e di alta priorità sul
disco, costringendomi a significative attese prima di eseguire i miei
comandi.
Cercherò di indagare presto.
Ciao

Il 18/02/2012 09:04, Giorgio Bompiani ha scritto:
> Aggiungo una cosa riguardo all'eventualità che il mio sistema sia
> stato "bucato".
> Da un po' di tempo ho notato che il pc sembra di tanto in tanto
> improvvisamente occupato in attività pesanti e di alta priorità sul
> disco, costringendomi a significative attese prima di eseguire i miei
> comandi.
> Cercherò di indagare presto.
> Ciao
>
Ho installato e lanciato rkhunter e chkrootkit e posto una sintesi dei
risultati. Tutte le altre righe danno un risultato negativo:
[..]

On 18/02/2012 12:04, Giorgio Bompiani wrote:

>> Risultati di rkhunter

>> Possible rootkits: 2
>> Rootkit names : Xzibit Rootkit, Xzibit Rootkit

guarda il log di rkhunter, di solito ci sono dei falsi positivi

qui è indicato qual'è il log:
>> All results have been written to the log file (/var/log/rkhunter.log)

>> following suspicious files and directories were found:
>> /usr/lib/jvm/java-1.5.0-gcj-4.4/.java-gcj-4.4.jinfo
>> /usr/lib/jvm/.java-6-openjdk.jinfo
>> /usr/lib/jvm/java-6-sun-1.6.0.26/.systemPrefs
>> /usr/lib/jvm/.java-6-sun.jinfo /usr/lib/iceweasel/.autoreg
>> /usr/lib/pymodules/python2.6/.path
>> /usr/lib/pymodules/python2.6/PyQt4/uic/widget-plugins/.noinit
>> /usr/lib/icedove/.autoreg /usr/lib/xulrunner-1.9.1/.autoreg
>> /lib/init/rw/.ramfs

dai un occhio anche a queste, ma di solito sono falsi positivi.
Controlla l'ultimo perché mi sembra un po' sospetto, un file nascosto
sotto quella directory...

>> gli altri test di chkrootkit sono negativi tranne queste righe per me
>> incomprensibili:
>> in /var/run/utmp !
>> ! RUID PID TTY CMD
>> ! root 1779 tty7 /usr/bin/X :0 vt7 -br -nolisten tcp -auth
>> /var/run/xauth/A:0-Zfhr4a
>> chkutmp: nothing deleted

Forse questo è usato da vnc e simili... ti colleghi da remoto a quel PC?

Prova a indicare cosa ritorna il seguente comando:
$ ps -def | grep tty

e riporta anche
# netstat -putan

Ciao
Davide

Il 18/02/2012 20:53, Davide Prina ha scritto:
> On 18/02/2012 12:04, Giorgio Bompiani wrote:
>
> .......
> qui è indicato qual'è il log:
>>> All results have been written to the log file (/var/log/rkhunter.log)
>
Ho copiato nella mail tutte le righe del log che non erano certamente
negative

following suspicious files and directories were found:
>>> ......
Che vuol dire dai un'occhiata? mi sa che la mia cultura tecnica non è
adeguata :-\
>
> ....................

> Prova a indicare cosa ritorna il seguente comando:
> $ ps -def | grep tty
>
ps -def | grep tty
root 1802 1779 1 08:16 tty7 00:10:46 /usr/bin/X :0 vt7 -br
-nolisten tcp -auth /var/run/xauth/A:0-Uieitb
root 2588 1 0 08:16 tty1 00:00:00 /sbin/getty 38400 tty1
root 2589 1 0 08:16 tty2 00:00:00 /sbin/getty 38400 tty2
root 2590 1 0 08:16 tty3 00:00:00 /sbin/getty 38400 tty3
root 2591 1 0 08:16 tty4 00:00:00 /sbin/getty 38400 tty4
root 2592 1 0 08:16 tty5 00:00:00 /sbin/getty 38400 tty5
root 2593 1 0 08:16 tty6 00:00:00 /sbin/getty 38400 tty6
giorgio 20830 2863 0 19:53 pts/0 00:00:00 grep tty
> e riporta anche
> # netstat -putan
root@pc-studio:/home/giorgio# netstat -putan
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address
State PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:*
LISTEN 2094/mysqld
tcp 0 0 0.0.0.0:22350 0.0.0.0:*
LISTEN 2912/skype
tcp 0 0 0.0.0.0:111 0.0.0.0:*
LISTEN 1299/portmap
tcp 0 0 0.0.0.0:22 0.0.0.0:*
LISTEN 2549/sshd
tcp 0 0 0.0.0.0:631 0.0.0.0:*
LISTEN 1874/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:*
LISTEN 2439/exim4
tcp 0 0 0.0.0.0:58057 0.0.0.0:*
LISTEN 1311/rpc.statd
tcp 0 0 192.168.1.128:52561 213.140.0.37:80
ESTABLISHED 19776/firefox-bin
tcp 0 0 192.168.1.128:51560 213.88.64.14:62579
ESTABLISHED 2912/skype
tcp6 0 0 :::139 :::*
LISTEN 2497/smbd
tcp6 0 0 :::80 :::*
LISTEN 1671/apache2
tcp6 0 0 :::22 :::*
LISTEN 2549/sshd
tcp6 0 0 :::631 :::*
LISTEN 1874/cupsd
tcp6 0 0 ::1:25 :::*
LISTEN 2439/exim4
tcp6 0 0 :::445 :::*
LISTEN 2497/smbd
udp 0 0 0.0.0.0:68
0.0.0.0:* 1559/dhclient
udp 0 0 0.0.0.0:22350
0.0.0.0:* 2912/skype
udp 0 0 0.0.0.0:47567
0.0.0.0:* 1311/rpc.statd
udp 0 0 0.0.0.0:54098
0.0.0.0:* 1744/avahi-daemon:
udp 0 0 0.0.0.0:5353
0.0.0.0:* 1744/avahi-daemon:
udp 0 0 0.0.0.0:111
0.0.0.0:* 1299/portmap
udp 0 0 0.0.0.0:631
0.0.0.0:* 1874/cupsd
udp 0 0 127.0.0.1:36347
0.0.0.0:* 2912/skype
udp 0 0 0.0.0.0:639
0.0.0.0:* 1311/rpc.statd
udp 0 0 192.168.1.255:137
0.0.0.0:* 2461/nmbd
udp 0 0 192.168.1.128:137
0.0.0.0:* 2461/nmbd
udp 0 0 0.0.0.0:137
0.0.0.0:* 2461/nmbd
udp 0 0 192.168.1.255:138
0.0.0.0:* 2461/nmbd
udp 0 0 192.168.1.128:138
0.0.0.0:* 2461/nmbd
udp 0 0 0.0.0.0:138
0.0.0.0:* 2461/nmbd
udp6 0 0 :::52703
:::* 1744/avahi-daemon:
udp6 0 0 :::5353
:::* 1744/avahi-daemon:

Ciao

On 19/02/2012 19:56, Giorgio Bompiani wrote:
> Il 18/02/2012 20:53, Davide Prina ha scritto:
>> On 18/02/2012 12:04, Giorgio Bompiani wrote:
>>
>> .......
>> qui è indicato qual'è il log:
>>>> All results have been written to the log file (/var/log/rkhunter.log)
>>
> Ho copiato nella mail tutte le righe del log che non erano certamente
> negative

hai indicato questo:

Rootkit checks...
Rootkits checked : 245
Possible rootkits: 2
Rootkit names : Xzibit Rootkit, Xzibit Rootkit

però non hai indicato quali sono i 2 file che contengono i possibili
rootkits.

per esempio a me rkhunter ne segnala 1:
Warning: Checking for possible rootkit strings [ Warning ]
Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible
rootkit: Xzibit Rootkit
Found string 'hdparm' in file '/etc/init.d/.depend.boot'.
Possible rootkit: Xzibit Rootkit

ma sono falsi positivi, perché il primo è lo script di init per hdparm,
mentre il secondo è l'elenco delle dipendenze durante la fase di boot.

ATTENZIONE: che per i programmi controllo se è cambiato qualcosa
rispetto all'ultimo controllo e quindi se hai aggiornato qualche
pacchetto te lo segnala... il controllo in teoria andrebbe fatto dopo
ogni aggiornamento del sistema in modo da verificare e poi per impostare
la base del confronto successivo

> following suspicious files and directories were found:
>>>> ......
> Che vuol dire dai un'occhiata? mi sa che la mia cultura tecnica non è
> adeguata :-\

guardare cosa contengono.
Per esempio se sono vuoti o sono file di configurazione non dovrebbero
essere pericolosi. Se invece sono script o binari... (puoi vederlo con
il comando file)


>> $ ps -def | grep tty

> ps -def | grep tty
> root 1802 1779 1 08:16 tty7 00:10:46 /usr/bin/X :0 vt7 -br -nolisten tcp
> -auth /var/run/xauth/A:0-Uieitb
> root 2588 1 0 08:16 tty1 00:00:00 /sbin/getty 38400 tty1
> root 2589 1 0 08:16 tty2 00:00:00 /sbin/getty 38400 tty2
> root 2590 1 0 08:16 tty3 00:00:00 /sbin/getty 38400 tty3
> root 2591 1 0 08:16 tty4 00:00:00 /sbin/getty 38400 tty4
> root 2592 1 0 08:16 tty5 00:00:00 /sbin/getty 38400 tty5
> root 2593 1 0 08:16 tty6 00:00:00 /sbin/getty 38400 tty6

ma scusa come fai a fare il login sul sistema?
Accedi da remoto?
in teoria non dovrebbe esserci /usr/bin/X, ma /usr/bin/Xorg, almeno credo.
Io pensavo che quel tipo di riga servisse solo a programmi tipo vnc per
connettersi da remoto...

Ma che display manager usi... se ne usi uno.

cosa hai installato? (all'incirca)
$ dpkg -l | egrep "ii[[:space:]]*[^[:space:]]dm"

questi dovrebbero essere i possibili display manager
$ debtags search x11::display-manager
gdm3 - Next generation GNOME Display Manager
gpe-login - login window for the G Palmtop Environment
kdm - KDE Display Manager for X11
kdm-gdmcompat - Provide basic gdm functionality to systems running kdm
ldm - LTSP display manager
sdm - Secure Display Manager - secure remote access to X11
sdm-terminal - Secure Display Manager - terminal files
slim - desktop-independent graphical login manager for X11
wdm - WINGs Display Manager - an xdm replacement with a WindowMaker look
xdm - X display manager

tu stai usando xauth, quindi
$ apt-cache rdepends xauth
xauth
Reverse Depends:
kdelibs4c2a
xtrace
xvfb
xserver-common
xorg
xbase-clients
xinit
tightvncserver
sux
pkpgcounter
openssh-server
openssh-client
open-vm-toolbox
ltsp-server-standalone
ltsp-server
|libgksu2-0
ldm-server
kdm-gdmcompat
libkdesu5
dropbear
deejayd

quindi desumo che tu stia usando come DM kdm-gdmcompat
giusto?

>> # netstat -putan
> root@pc-studio:/home/giorgio# netstat -putan
> Active Internet connections (servers and established)
> Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
[...]

non mi sembra ci sia nulla di strano

Però in ogni caso se il sistema è stato compromesso potrebbero essere
state nascoste le prove e modificati i programmi che possono identificarle.

Ciao
Davide

Il 20/02/2012 20:39, Davide Prina ha scritto:
> non mi sembra ci sia nulla di strano
>
> Però in ogni caso se il sistema è stato compromesso potrebbero essere
> state nascoste le prove e modificati i programmi che possono
> identificarle.
Quindi in sostanza siamo al palo. Comunque questa era solo una ipotesi
che sembra cadere. Il problema di fondo è sempre lì :'( .
Per ora rimango in riflessione e leggo in giro.