Ciao,
giusto per capire meglio la discussione, poiché avevo provato ad aiutare Ablius a cercare la stringa incriminata "<iframe src=...." sul file system del Server web nell'altro tread aperto in "Supporto Generale", ed avevo qualche sospetto che fosse fuori strada; la stringa in questione, quindi, da quanto capisco, era generata dinamicamente da un rootkit che si era sostituito alla shell e manipolava le risposte servite ai client web da Apache?
In casi del genere, ammesso che il tool riesca ad individuare il rootkit sul Server, come si deve procedere per "ripulire" il sistema? In questo caso quale dei due tool suggeriti da dankan77 (rkhunter o chkrootkit) è riuscito a trovare il rootkit?
Infine, dopo che ci si accorge che un sistema è stato violato, esiste una ragionevole speranza di riuscire a "ripulirlo" definitivamente, senza il dubbio che qualcosa possa essere sfuggito? O in altri temini: se si incrementa la sicurezza di un sistema di pari passo con l'esperienza e le maggiori conoscenze, come si può fare per verificare se qualcuno non sia entrato nel sistema prima che le porte fossero chiuse?
Grazie.
