I commenti sono aggiunti quando e soprattutto
se ho il tempo di guardarli e dopo aver eliminato le cagate,
spam, tentativi di phishing et similia. Quindi non trattenete il respiro.
70 messaggi
Alessandro Porcu Di Alessandro Porcu postato il 27/10/2008 09:16
Cavolo, e' proprio de coccio quello li ...... Speriamo sia la volta buona che te lo levano dai piedi ... o chi vive sperando, muore ....... male ?
denis Di denis postato il 27/10/2008 09:16
"rm .bash_history" ma allora SA di essere un babbuino... altrimenti che senso avrebbe piallarla? io l'ho portata a 10k perchè è troppo comoda.
Kaspa Di Kaspa postato il 27/10/2008 09:16
Rotoloni CL, non finiscono mai!
Thurill Di Thurill postato il 27/10/2008 09:17
Credo di sapere che cosa sia andato a rimuovere...
Buona giornata Davide!
Mario Di Mario postato il 27/10/2008 09:17
Un problema in meno o attendi il suo sostituto che (Murphy e' li' che ti guarda eh...) sara' peggio dell'attuale?
z f k Di z f k postato il 27/10/2008 09:17
sara' mica arrivato il momento di far tenere una copia di .bash-history da qualche parte, in automatico?
Massimo Di Massimo postato il 27/10/2008 09:17
Ciao Davide ho scoperto il tuo sito qualche settimana fa e me lo sto leggendo tutto quanto giorno per giorno. Che dire, complimenti!
Premetto di aver letto le FAQ e sapere cosa sia FdT (so che ci tieni!) come mai non usi un cms o piattaforma di blog per pubblicare i contenuti? Che so, WordPress? Io lo trovo così comodo...
Se hai letto l'articolo sai perche'
C. Brogliato Di C. Brogliato postato il 27/10/2008 09:17
Ho come l'impressione che il CL in questione avrà un brutto quarto d'ora, la fiducia nel prossimo mi fa pensare che non ci saranno altre telefonate per far dare al CL la password di root.
Se non ricordo male non avevi fatto un back up al server la volta scorsa?
Luca Bertoncello Di Luca Bertoncello postato il 27/10/2008 09:17
Bellissimo quel "io adesso vado a rimuovere qualche cosa d'altro"!!!
Spero proprio (per voi) che intenda rimuovere la testa di CL dal suo collo...
Mauro Di Mauro postato il 27/10/2008 09:17
Vedo che dopo mille peripezie il "noi non abbiamo fatto nulla" sembra iniziare a passare di moda.
Roberto Di Roberto postato il 27/10/2008 09:17
Il fatto che CL cancelli la .bash_history come PRIMA cosa, e' indicativo di due fatti:
a. ha la oscienza sporca
b. e' un cretino (ma questo fatto era gia- noto a priori), perche' dovrebbe farla come anche come ULTIMA altrimenti, almeno l'ultima sessione di lavoro, resta tracciata.
che sia la volta buona che CL subisca un rm -f ? sperem!
franganghi Di franganghi postato il 27/10/2008 09:17
mh, sempre così? non c'è pace per i dannati.
Maurizio Di Maurizio postato il 27/10/2008 09:17
> In particolare ha imparato a fare un "rm .bash_history" come primo foxxuto comando ogni volta che fa login.
Si fan sempre piu' furbi questi CL
yogurt Di yogurt postato il 27/10/2008 09:17
Ahahahahah... sono alle lacrime =')
Sacripant Di Sacripant postato il 27/10/2008 09:17
Eccezionale...mi vedo UL in funzione Eraser (L'eliminatore) con il miTTico Arnold che va a rimuovere CL.
Dite che avrà fatto rm -Rf *.tfr di CL?
Certo che se sto CL perdesse il tempo per cercare di capire come funzionano le cose che fa invece di cercare di capire come far danni e nascondersi...ops non sarebbe più CL.
'giorno D.
Michele Montanari Di Michele Montanari postato il 27/10/2008 09:18
n00b die on dead line...
andrea giocondi Di andrea giocondi postato il 27/10/2008 09:18
beh, forse per un pò di tempo avrai un problema in meno... Tutto sta nel capire QUANTO tempo
grick Di grick postato il 27/10/2008 09:18
Chissa' se si fermano a due solo reinstallazioni o decidono di iterare il processo
Comunque invece di rimuovere il login di CL dovresti fare eseguire al suo login invece di bash un bello script che spedisce una mail al suo UL:
"Ciao UL, sono CL. Contravvenendo in pieno alle tue disposizioni, ho fatto il login sul server X
".
Steve Di Steve postato il 27/10/2008 09:18
Cacchio stavolta l'ha fatta grossa. C'è da dire che è anche un po' sfigato però.. alla prima cappellata i piscer gli bucano il sito in tempo zero l'isp lo sgama. Un viaggetto a Lourdes non gli farebbe male.
Cyber Di Cyber postato il 27/10/2008 09:40
Cosa ha rimosso poi?
filsysadmin Di filsysadmin postato il 27/10/2008 09:40
Non e che CL per mestiere fa il "pescatore" ? Anche perchè l'rm della history è un pelo sospetta.
Marco Di Marco postato il 27/10/2008 09:40
Come direbbe Murphy "I cretini sono sempre piu' ingegniosi delle precauzioni che si prendono per impedirgli di nuocere"....
o0Alessandro0o Di o0Alessandro0o postato il 27/10/2008 10:22
Bene, CL e' ancora piu' cretino di quanto pensassi. Se sai di aver fatto una vaccata, .bash_history mica la levi (dimostrando cosi' di avere la coscienza sporca): la "correggi"!
E' vero che dovresti sapere di che vaccata si tratta e, dato il tipo, mi sa che si rende conto di fare vaccate ma non ha idea di quali siano...
@Steve: che sia la
prima cappellata e' un'ipotesi (peraltro estremamente ottimistica visto il track record di CL). Per quanto ne sappiamo, il sito e' probabilmente nella mystica posizione che, in Toscana, definiscono "buopillonzi". In costume adamitico. Con un tatuaggio "welcome" sulla schiena. In una prigione senza visite coniugali.
@D: ogni tanto si vede in che lingua pensi
"Pretendere", in italiano, e' sinonimo di "esigere": io pretendo di essere pagato per il lavoro che faccio e il mio panettiere pretende di essere pagato per le michette. Buoni "false friends" a tutti...
Alessio Di Alessio postato il 27/10/2008 10:22
E ora una nuova puntata di ... (signorina che mostra l'acconciatura) "CL vs D.". Ormai dovresti fare le magliette
"adotta anche tu un CL, cosi' ti risolleva la giornata quando sei triste".
Daniele Di Daniele postato il 27/10/2008 10:22
Preparati Davide, il CL che lo sostituirà sarà peggio. Murphy non sbaglia.
ALG Di ALG postato il 27/10/2008 10:22
Suggerimento per quando reinstalli il server, LVM con possibilità di fare Snapshot e scriptino che fa uno Snapshot di .bash_history prima di ogni rm... Messo in piedi su server lasciato mio malgrado a Pigs&Dogs e va da Dio...
Ciao
Tommaso Di Tommaso postato il 27/10/2008 10:22
ROTFL!
Quel CL è proprio coriaceo eh? Tenta pure di far sparire le prove...
Quoto l'idea di loggare la sua .bash_history altrove, sempre che il suo UL lo lasci vivo e gli renda il permesso di nuocere...
Daniele C. Di Daniele C. postato il 27/10/2008 12:30
@filsysadmin
Questa cosa mi fa pensare: 'sto pirla non sapeva fare neanche un rm ed ora ha appreso cos'è .bash_history, dove trovarlo e come rimuoverlo in un colpo solo... non è che CL si è detto "dato che non sono molto bravo, perché non lo faccio fare al mio nuovo amico che ho conosciuto in un Pub l'altra sera, il cui nome non mi ricordo, ma mi ha detto che è TAAANTO bravo?" e gli ha dato le password di Root?
Ricordo il Principio di Napoleone: "Non imputare a malafede, quello che puoi essere imputato ad imbecillità"
Posso farti notare che rm lo sapeva fare bene... anche troppo bene...
Jurghen Di Jurghen postato il 27/10/2008 12:30
<battutascontata>
Questa volta CL ha proprio phishato fuori dal vaso!
</battutascontata>
Antonio Di Antonio postato il 27/10/2008 12:31
Ma son diventati veramente così furbi i CL da droppare la bash history? Addirittura il tizio sa a cosa serve bash_history??
Sicuro che da una falla di uno dei demoni in ascolto verso l'esterno non son riusciti ad ottenere i privilegi di root?
In questi casi solitamente la prima cosa è modificare il file di profilo per fare il rm dell'history per rendere la vita un pelo più difficile a noi sysadmin..
PS: Tnk per farmi iniziare in allegria i lunedì
Daniele C. Di Daniele C. postato il 27/10/2008 12:31
@Marco
Mi ricorda un "Responsabile" in un posto dove abbiamo fatto un'installazione di un nostro filtro per internet. Non sto a ripetere tutta la storia, ma, sostanzialmente, diceva che è inutile usare delle procedure per limitare gli utenti, dato che loro erano sempre un passo avanti, era meglio lasciargli fare quello che volevano, che si faticava di meno. Se non gli ho detto quello che realmente pensavo è stato un miracolo.
mic Di mic postato il 27/10/2008 12:31
uno che elimina la history ha la cosicienza sporca.
che poi se non erro facendo la rm di .bash_history la nuova history inizia proprio con il comando della rm. che pirlotto
Maurizio Di Maurizio postato il 27/10/2008 12:31
Nooooooo... e adesso che rimuovono il CL, hai perso una delle fonti migliori delle tue storie!!! o hai semplicemente risolto il problema alla fonte?
complimenti. è sempre un piacere passare di qua tutti i lunedì
Davide Inglima - limaCAT Di Davide Inglima - limaCAT postato il 27/10/2008 12:31
Quando collaboravo con una distro linux veniva usata una patch su tutte le shell che scriveva (in append) un simpatico file dal nome "1" nella $HOME dell'utente e che metteva tutto il log in scrittura. Tale file inoltre era leggibile da tutti ma non cancellabile da nessuno (e in particolare solo scrivibile dalle shell). Ovviamente un programma c qualsiasi poteva battere la limitazione, ma sospetto che quel file 1 onnipresente in $HOME fosse lì solo per dirti "stai buono perché tanto ne abbiamo un altra copia da un altra parte".
Una patch similare é questa, ma non l'ho usata.
http://e133.enemy.cx/xSH-paranoia/
Eugenio D. Di Eugenio D. postato il 27/10/2008 12:32
Quanto tempo passerà prima che gli ridiano il log-in sulla macchina alias la distrugga un altra volta? Il tutto considerando che vedendo la precedente esperienza la cosa succederà sicuramente.
LG Di LG postato il 27/10/2008 12:32
E' piu' probabile che chi ha bucato l'account di CL faccia rm .bash_history appena loggato.
Mai sopravvalutare un CL.
WheatMaster Di WheatMaster postato il 27/10/2008 12:32
>>...come primo foxxuto comando ogni volta che fa login.
Coda di paglia grande come una casa. Come quando si cancella la cronologia del browser dopo essere andati su siti di donnine...
Kurgan Di Kurgan postato il 27/10/2008 12:32
Per non lasciare tracce di una sessione in .bash_history, la soluzione piu` semplice e` quella di non chiudere la sessione con un "exit" ma con un "kill -9" del pid della propria shell. Cosi` facendo la history della sessione che si e` appena conclusa non viene scritta, lasciando tuttavia li` le precedenti. Che poi si vede lo stesso che hai fatto login perche` ci sono i dati in wtmp, ma comunque...
Paolo C. Di Paolo C. postato il 27/10/2008 12:32
Nelle immortali parole di Gino Bramieri: dopo averne mangiato tre piatti ha capito che era risotto. Vale sia per il luser-wannabe-sysadm che per il suo responsabile, ma del primo non
sono sicuro.
Giepi Di Giepi postato il 27/10/2008 12:32
Mah... adesso dovendo reinstallare riprenderai lo stato dei siti ospitati da backup, perdendo le modifiche? Io avrei cmq paura di infezioni anche nel codice di quei siti oramai...
TheMule Di TheMule postato il 27/10/2008 12:32
Secondo me anche senza LVM per quel CL basta mettere HISTFILE=~/.pipppero in qualche script di sistema (/etc/bashrc per intenderci), e fargli trovare un fake .bash_history ogni volta che si collega, in modo da non insospettirlo.
Ma sarebbe ancora più divertente un chattr +i sul finto .bash_history e poi godersi dei suoi tentativi di rimuoverlo (ovviamente leggendoseli da ~/.pipppero). Si insospettisce di sicuro, ma il divertimento è assicurato.
Mauro Di Mauro postato il 27/10/2008 12:32
La domanda ora è: quanto tempo passerà prima che riassegneranno la password al CL?
spacexplorer Di spacexplorer postato il 27/10/2008 12:33
ih ih ih, non me la prenderei troppo: i siti di fishing sono utili! Si vedono (almeno tutti quelli che mi sono capitati) ad un Km, cosiccome le mail che ti mandano. Se la gente e` cretina ben gli sta`, il problema e` che il nostro sistema sociale trasforma i cretini in vittime.
@ALG mica puoi snapshottare (e spedire lo snap, se no ti cancella anche lui) a ogni login, oltre a tutto dovresti snapshottare
tutti i volumi.
PS
nei srv che amministro io ho $HISTFILE a /dev/null (per me), la history è solo in memoria sino al logout; per gli altri script ben messo (il programma, non uno script)
Palin Di Palin postato il 27/10/2008 13:28
@mic
Sì, a meno che tu non faccia rm .bash_history con un'altra shell...
Mg Di Mg postato il 27/10/2008 13:28
Cioè... no... MA QUANTI DANNI HA INTENZIONE DI FARE!!!
filsysadmin Di filsysadmin postato il 27/10/2008 14:13
@Daniele C.
Può essere ma solo se l'amico gli ha mostrato il biglietto truffaldino MAGO G GALBUSERA Cracker professionista.
No troppe e poi fai vaccate non insabbi come già detto precedentemente correggi se poi non sai correggere o altro allora Come suggerito di nuovo sopra UL-SUBzero ti potrebbe "carezzare".
NetWorm Di NetWorm postato il 27/10/2008 15:09
@Alessio:
sarebbe meglio "Salva un server, uccidi un CL!"
@Davide:
in effetti la history non dovrebbe rimuoverla alla fine della sessione?
@all:
dopo 4 mesi del nuovo lavoro finalmente è arrivata la fatidica telefonata!
-CL: non funziona il router!
-Io: è acceso?
-CL: perchè, lo devo accendere?
Max Di Max postato il 27/10/2008 15:54
No, dai, non e' possibile... per me quell'ssere ha una password tipo "password" (o se si è davvero evoluto, il nome del cane) bucabile in 3 secondi dal primo fetente che passa e si trova casualmente per le mani un sitarello che ha bisogno di hosting... uno che sa che esiste .bash_history non e' cosi' pirla da avere un sito di phishing senza saperlo. Inutile cercare motivazioni esoteriche per fenomeni spiegabili semplicemente con "CL e' imbecille"...
Micky Di Micky postato il 27/10/2008 17:24
Io farei così per cancellare le tracce automaticamente:
o metto in ~/.bashrc HISTFILESIZE=0 oppure, che mi pare più divertente, echo rm -f ~/.bash_history > ~/.bash_logout
Ciao, Micky
Valerio L.T. Di Valerio L.T. postato il 27/10/2008 19:15
Ciao Davide! Mi sa che sto CL è più duro di un virus eh?! Ma non ho capito bene l'ultima frase di UL "Io adesso vado a rimuovere qualche cosa d'altro..." non mi dire che lo ucciderà?!
Stammi bene!!! Valerio
Sacripant Di Sacripant postato il 28/10/2008 08:41
Eheh mi sa che oggi D. era ben incasinato dato che ha "aggiunto" commenti ai nostri commenti.
Direi che oggi potrebbe essere stata una giornata memorabile per le storie di D. Aspetteremo per vedere!!!
Io aggiungo spesso commenti ai vostri commenti, questo qui per esempio
denis Di denis postato il 28/10/2008 08:41
vorrei far notare che conoscere .bash_history non è una gran cosa e che:
1) il tizio la shell già la conosceva visti i danni che ha fatto, è un wannabe-sysad, la nomina di CL gli è arrivata non perchè non sapesse COME fare QUALCOSA ma perchè non aveva la più pallida idea di cosa stesse facendo, IMHO
2) la prima cosa che un CL impara è come fare danni e come cancellare le tracce, guardate un lab di informatica delle superiori e ne avrete le prove.. su 25 persone 3 sanno fare qualcosae le altre 22 sanno cancellare le tracce dei misfatti purchiedendo (testuali parole) "ma quando installo windows devo installare anche il cestino?"
Sacripant Di Sacripant postato il 28/10/2008 08:55
Ops avevo dimenticato un "poco" nella dicitura aggiunto...ho stravolto il significato della frase. Sto organizzando un pulmino per Lourdes o Caravaggio qualcuno è interessato!?
Ti posso dare un paio di CL da buttare nella piscina? fa lo stesso se non li riporti piu' indietro.
Paolo C. Di Paolo C. postato il 28/10/2008 09:34
(per denis) Gli si poteva rispondere: installa prima il cestino e mettitici dentro.
ReadOnly Di ReadOnly postato il 28/10/2008 13:13
@Paolo C.: da aggiungere "tenendo premuto Shift", prima che qualcuno lo recupera...
meksONE Di meksONE postato il 28/10/2008 13:45
grandioso... semplicemente grandioso. ODE a CL!
Sacripant Di Sacripant postato il 28/10/2008 15:00
Credo fortemente di voler essere tuo discepolo D.
Un giovine e aspirante Youngling, per poter conoscere ed imparare ad utilizzare tutti gli aspetti più reconditi dello sForzo/a...poter controllare le menti dei CL, configurare SpaghettiNetwork, depistare pescatori di frodo (phisher), ma soprattutto per sopravvire (nonostante assenza di spirito motociclista anche se adoro le moto) al tuo progetto finale eheh...
Che lo sforzo sia con te...
Dom Di Dom postato il 28/10/2008 15:33
shit meet fan...
Manuel Di Manuel postato il 28/10/2008 20:14
Ti seguo da anni ma questa storia mi ha veramente sbalordito. Come dice il proverbio?Errare umanum est, perseverare ovest :lol:
Paolo C. Di Paolo C. postato il 28/10/2008 20:14
Per spacexplorer: ognuno di noi può rimanere VITTIMA di un lavoro mal eseguito o non eseguito affatto, per il quale abbiamo però corrisposto quanto ci è stato chiesto. L'esempio è calzante in quanto dimostra che siamo tutti frodabili, basta solo trovare chi si accorge della nostra ignoranza in uno specifico ambito. Mi auguro che tu possa ripensare a quanto hai scritto.
tillo Di tillo postato il 29/10/2008 08:27
denis dice:
> [...] io l'ho portata a 10k perchè è troppo comoda.
Anche io a casa lascio 10K... ma sui server esposti preferisco fare "unset HISTFILE" ad ogni login.
Motivo? Un modo in più per capire immediatamente quando qualcuno che non sono io avvia una shell; e in ogni caso non c'è comando che faccio sui server che non conosca a memoria o che non lasci una traccia (pertanto un'history è inutile). Se devo ricordarmi una procedura faccio uno script o un mini-howto. Gli errori cerco di evitarli a priori
Sono un analista di sicurezza e l'esperienza insegna: la maggior parte delle intrusioni sono effettuate da ragazzini che non sanno cosa stanno facendo, e una buona parte degli "exploit" locali o remoti pubblici usano shellcode che non si occupano di modificare $HOME o $HISTFILE quando fanno partire "/bin/sh"... da qui ad un bel resoconto delle azioni perpetrate dall'intruso nel .bash_history il passo è breve.
Sull'ultima parte devo concordare.
spacexplorer Di spacexplorer postato il 29/10/2008 08:28
@Davide
scusa per il (lungo) replay diretto
#ifndef flame
@Paolo C.
l'ho detto in senso ironico (l'"ih ih ih"). Quello che dici e` vero,
mi sembra pero` che nella nostra societa` la maggior parte delle cose funzioni sull'ignoranza del prossimo: solo nell'informatica quanti si fanno del sangue marcio per cercare di convincere un cliente che "cosi` non va", che "e` opportuno si faccia questo e questo" ecc?
E chi "la spunta" di solito? Continuero` sino all'ultimo a spiegare,
cerare di far capiere, ma vedo i risultati. Ci sono ambiti in cui sono io dalla parte dell'utente, ma cerco di essere il piu` critico possibile (trust is a weakness, confermo sulla mia pelle) non piango se mi fregano: impreco. Se sono io il responsabile sono pronto a pagare. Casi come questo sono anche utili, secondo me, quale monito per chi pensa di poter vivere nel paese delle meraviglie.
#endif
daniele_tr Di daniele_tr postato il 29/10/2008 11:21
a me non mette paura lui ma chi continua a dargli privilegi d accesso superiori al poter aprire un programma di scrittura...
Nik Di Nik postato il 29/10/2008 20:09
D. non ti chiedo di anticiparci il seguito di questa vicenda (so che c'è), ma -ti prego- non dirmi che dopo avergli (ri)tolto i privilegi glieli hanno (ri)(ri)dati...
Fino ad ora non l'ho piu' risentito. Ma io tengo il cornetto antisfiga sempre a portata di mano.
skorpion Di skorpion postato il 30/10/2008 06:41
Arrivo tardi sta settimana
avrei una considerazione:
il cl non puo' aver messo il sito phising volutamente, ergo il server e' al 99% bucato. quindi la cancellazione della bash history prima dell'ultima sessione di lavoro, siamo proprio sicuri che l'abbia fatta il cl?
Se tu vuoi vedere che cosa ha fatto uno negli ultimi giorni, cosa fai? Guardi nel backup no? Si' e' proprio farina del suo sacco...
cmq per RImettere nelle mani un server di produzione a uno che aveva fatto rm -rf .* bisogna essere sadici, ma sadici forte!
Davide Di Davide postato il 30/10/2008 16:59
non c'entra niente con l'articolo ma ti vorrei chiedere un consiglio.... Possibile che quando descrivo agli altri il mio lavoro (sistemista) mi dicono sempre: "Ah bene! così quando ho problemi al mio picci' chiamo te"?
Ti capita mai?
si
Cosa gli rispondi in questi casi?
no
Ale Di Ale postato il 31/10/2008 19:05
@Davide
Risposta alternativa:
"Se e' GNU/Linux volentieri", cosi' ti togli il 90% dei questuanti.
Ale Di Ale postato il 31/10/2008 19:06
E se CL fosse stato cosi' babbeo da farsi fregare la passwd dal pisher di turno che gli ha opportunamente modificato lo script di login?
Fantascienza?
Andrea Di Andrea postato il 31/10/2008 19:06
@all:
dopo 4 mesi del nuovo lavoro finalmente è arrivata la fatidica telefonata!
-CL: non funziona il router!
-Io: è acceso?
-CL: perchè, lo devo accendere?
i router che uso io non sono da accendere, basta collegarli alla corrente....
denis Di denis postato il 03/11/2008 08:48
@Ale
Risposta alternativa:
"Se e' GNU/Linux volentieri", cosi' ti togli il 90% dei questuanti.
Stima conservativa, direi anche 99,999%
70 messaggi
Precedente Successivo