L’episodio in questione risale a diversi anni addietro, quando ancora l’abitudine di esporre su reti pubbliche macchine server *nix (ma anche macchine con altri OS ovviamente!) senza un firewall davanti era abbastanza diffusa, sopratutto su reti di dimensioni grandi gestite da vari sysadmin non sempre espertissimi.
Beh, in pratica sulla rete in questione (appartenente ad una struttura abbastanza grande), vi era una macchina *nix appunto, su cui uno dei sysadmin iniziava ad avere il sospetto che venissero compiuti degli accessi non autorizzati. Il sysadmin aveva più precisamente il sospetto che il suo predecessore (la persona che prima di lui aveva gestito quei sistemi, che in seguito aveva cambiato lavoro) ancora utilizzasse quella macchina, utilizzando il suo vecchio account.
All’epoca (correva l’anno duemila se non erro!) non c’era ancora l’ADSL in casa (o almeno non in tutte le case!) e poter avere un accesso ad un server su una linea veloce su cui scaricare magari dati era un privilegio per pochi (avere una linea da 1Mbit all’epoca significava essere invidiati da tutti, visto che l’utente domestico era abituato a navigare con modem da 56 Kbit, oggi ovviamente con l’ ADSL queste velocità farebbero ridere)
…Il nostro sysadmin quindi, dopo aver ipotizzato che il suo predecessore avesse ancora accesso alla macchina, iniziò a controllare i log di sistema, ma si accorse ben presto che i log erano stati ripuliti (alcuni file erano proprio stati cancellati, altri modificati eliminando IP di provenienza e username relativi ai login non autorizzati); non poteva dunque avere nessuna prova che attestasse un accesso non autorizzato.
Non occorre essere esperti di network forensic per capire che utilizzando un sistema in grado di fare da bridge si sarebbe potuto con facilità ottenere una traccia su logfile degli accessi, tuttavia per una serie di motivi (tra i quali una distanza di qualche centinaio di km tra me e il server in questione e l’impossibilità di collocare sulla rete un dispositivo simile) questa soluzione risultava impraticabile, cosi’ come appariva inutile pensare di poter sfruttare i classici logserver remoti , poichè anche questa soluzione sarebbe stata difficile da implementare in quelle condizioni.
L’unica cosa certa che avevamo potuto constatare, con un portscan era il fatto che questo tizio si era creato una sua backdoor aprendo una porta sul server ed entrando con i permessi di root.; per cui alla fine ci venne un’idea semplice ma efficace per beccare il simpaticone con le mani nel sacco (o meglio,per impedire che potesse cancellare i log): dato che mettere le mani sul server per creare qualche script complesso, bastava fare un piccolo script di due righe che, lanciato ad intervalli di tempo molto ristretti, si accertava della presenza dell’utente in questione collegato da dispositivi diversi dalla consolle e in caso positivo spegnesse il server (rendendo quindi impossibile la modifica dei log senza accedere fisicamente alla macchina)
Ovviamente dopo un paio di giorni, lo script aveva fatto il suo lavoro, spegnendo il server durante un accesso non autorizzato del vecchio sysadmin; che dovette quindi spiegare le ragioni della sua condotta.