Il Processo che Non Dorme Mai

Wed, 01 Apr 2026 00:00:00 +0000

TL;DR

Alert alle 2:47: processo bash con connessione aperta verso IP esterno su porta 4444 → reverse shell attiva
ss -tnp | grep ESTABLISHED identifica il processo e il PID in tempo reale
tcpdump -i eth0 -n -A legge il payload in chiaro: comandi dell'attaccante visibili direttamente
Prima di bloccare: raccogliere history, auth.log, find -mmin -120 - agire troppo presto distrugge le prove

▶ $ history

ss -tnp
tcpdump -i eth0 -n -A host 185.220.101.34
ip a
history
grep "185.220.101.34" /var/log/auth.log
find / -mmin -120 -type f 2>/dev/null
kill -9 [PID]
ufw deny from [IP]

I file erano ancora lì. Solo che non li potevo più leggere.

Tue, 24 Mar 2026 00:00:00 +0000

TL;DR

CIA Triad: Confidentiality, Integrity, Availability - i tre pilastri che ogni attacco viola
Un ransomware li colpisce tutti e tre in sequenza: esfiltra (C), cifra (I), blocca (A)
L'ingresso era un bit SUID lasciato su python3 - zero exploit, zero CVE
Senza la CIA Triad come mappa, stai guardando i sintomi senza vedere la malattia

▶ $ history

find -perm -4000 -type f 2>/dev/null
ls -la /etc/shadow
diff /backup/etc/passwd /etc/passwd
systemctl status ssh
stat /usr/bin/python3

Sono le 23:12. Il telefono vibra tre volte di fila - notifiche di monitoring. Mi alzo, apro il portatile.

Storytelling on u-random

Il Processo che Non Dorme Mai

I file erano ancora lì. Solo che non li potevo più leggere.