Renato, Toda esta discussão surgiu justamente na intenção de compartilhar conhecimento.
O post original não tinha detalhes e eu citei duas alternativas: procurar uma consultoria, se fosse urgente, ou detalhar melhor o problema, para que alguém apontasse soluções. Eu não vou focar na primeira, mas a segunda, já que parece que "as firulas" não ficaram claras: O processo básico para resolver um problema é bem simples: entende o problema e com este entendimento tu pode apontar soluções. Se reler o e-mail original, não há qualquer menção ao firewall ter sido comprometido, só disse que "a empresa foi hackeada". Se tu não sabe onde foi o problema, como que tu aponta uma solução, ainda mais num caso como este, que dependendo do que for feito, pode piorar a situação e até mesmo impedir/prejudicar uma eventual investigação? Depois de tudo, é muito fácil falar, "ah mas é só olhar no syslog", só que é isso mesmo? Quem garante que o syslog não foi modificado? Quem garante que o /var/log/wtmp e/ou /var/log/utmp não foi modificado? Quem garante que não tem um rootkit nas ferramentas do coreutils (less, cat e etc.) ou o grep? Sem saber o que aconteceu, a gente poderia simplesmente falar para ver num log e ele poderia encontrar um IP (que pode não ser de onde veio o ataque, pode ter sido só um proxy). Isso resolve o problema? Talvez, nós ainda não conhecemos o contexto. Isso gera algum conhecimento para alguém que acompanhe a discussão? Eu duvido muito. Na verdade, se tem algo que esta discussão mostra é justamente o contrário, e eu nem estou falando das trocas de ofensas. Se alguém mais inexperiente esbarra nesta thread, o que ele vai aprender? Vai aprender que tem que olhar no /var/log/syslog, mas por quê? Será que ele sabe que é porque o Slackware não usa PAM e por padrão o log do ssh grava coisas no syslog? E se ele pega um sistema com PAM, será que ele sabe que o log certo passa à ser o auth.log? E todo o procedimento básico ao ter um servidor comprometido, será que alguém aprendeu algo? Do jeito que foi descrito, eu tenho a impressão de que o servidor comprometido continuou em produção até o autor do post original ter trocado por um Debian. Eu concordo que as reações foram péssimas, mas tu não pode dizer que não tentamos compartilhar conhecimento. 2014-09-11 10:34 GMT-03:00 Renato Alves Nogueira <ratoman....@gmail.com>: > Olha, eu tô impressionado em quão amistosos os senhores, portadores do > conhecimento absoluto estão sendo com um menos conhecedor. Naturalmente que > para se ter conhecimentos tão abrangentes sobre linux, especificamente > slackware, regras de firewall, de rede e regras de syslog demanda um tempo > razoável. Mas isso é irrelevante para os senhores que certamente já nasceram > sabendo tudo e nunca precisaram dedicar o tempo de vocês a muito estudo, nem > compartilhar experiência uns com os outros. Não, vocês não fazem isso. São > totalmente autosuficientes. Talvez seja esta a razão de serem uma comunidade > tão isolada. A prepotência e arrogância é um mero detalhe, nada que precise > se preocupar. Talvez o cara que fez o post inicial tenha errado ao expor a > opinião dele desse jeito. Mas creio também que houve erro do lado de vocês > que justificaram um erro com outro erro, sendo igualmente descortês com o > cara. O problema está na proporção, que não foi de um pra um, mas sim de > muitos pra um. Da mesma forma que comportamentos como o dele impede-o de ter > as devidas respostas, comportamentos como o que vocês tiveram com ele > impede-os de terem mais pessoas nessa comunidade já que os usuários > sentiriam um certo receio de estar junto com pessoas tão arrogantes e vocês > são quem representam essa comunidade. Lógico que as pessoas que fizeram isso > são poucas, mas a mensagem vai para todas e por isso eu peço desculpas. > Enfim, já que alguns erraram permitam-me errar também. Fiquei desgostoso com > o comportamento de vocês em relação ao outro indivíduo e por isso eu quero > expressar meu sentimento de raiva e quero que vocês todos vão para a puta > que os pariu seus bando de filhas da puta do caralho que gostam de tripudiar > sobre os outros. Vão tomar no cú! > > > > Em 10/09/2014 23:15, Paulo Henrique - BSDs Brasil escreveu: > > Para uma pessoa que está fazendo uma pergunta desse nível esperar qualquer > inteligência é no mínimo insano. > > Contratar uma consultoria de segurança é o mínimo que ele poderia fazer > diante de sua própria incompetência. > > Att. > > Enviado do meu smartphone Sony Xperia™ > > > > ---- Piter PUNK escreveu ---- > > rarbore...@gmail.com wrote: >> Olá, como disse a solução era muito simples.... SÓ VERIFICAR O ARQUIVO >> syslog em /var/log, mas acredito que nem o senhores sabiam. Pronto, >> agora quando quiserem ajudar alguém não precisa mais te tanta firula, >> não é mesmo. >> Abraços > > Eu jogo os meus logs para o /var/log/iptables.log, porque gosto de ter > separado. Então a resposta de como está na minha máquina ia ser > totalmente inútil para você. > > A primeira resposta que você teve, do Vicente, foi: > > --- > Ai vai depender de como vc configurou o seu firewall, como vc faz o > log das regras se é que faz, etc... Qual banco foi? > --- > > Exatamente porque, dependendo da configuração do iptables e do syslog, > essa informação pode ir para qualquer arquivo (ou mesmo ser jogada fora). > > Podia ter informado a lista de como estava configurado e ter a resposta, > ao invés de ficar bravo. > > Piter Punk > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao > > Para sair da lista envie um e-mail para: > slack-users-br+unsubscr...@googlegroups.com > --- > Você está recebendo esta mensagem porque se inscreveu no grupo "Slackware > Users Group - Brazil" dos Grupos do Google. > Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie > um e-mail para slack-users-br+unsubscr...@googlegroups.com. > Para obter mais opções, acesse https://groups.google.com/d/optout. > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao > > Para sair da lista envie um e-mail para: > slack-users-br+unsubscr...@googlegroups.com > --- > Você recebeu essa mensagem porque está inscrito no grupo quot;Slackware > Users Group - Brazil" dos Grupos do Google. > Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie > um e-mail para slack-users-br+unsubscr...@googlegroups.com. > Para mais opções, acesse https://groups.google.com/d/optout. > > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao > > Para sair da lista envie um e-mail para: > slack-users-br+unsubscr...@googlegroups.com > --- > Você recebeu essa mensagem porque está inscrito no grupo quot;Slackware > Users Group - Brazil" dos Grupos do Google. > Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie > um e-mail para slack-users-br+unsubscr...@googlegroups.com. > Para mais opções, acesse https://groups.google.com/d/optout. -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao Para sair da lista envie um e-mail para: slack-users-br+unsubscr...@googlegroups.com --- Você está recebendo esta mensagem porque se inscreveu no grupo "Slackware Users Group - Brazil" dos Grupos do Google. Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para slack-users-br+unsubscr...@googlegroups.com. Para obter mais opções, acesse https://groups.google.com/d/optout.