Saudações Marcelo!
Já é tarde e acredito que você já tenha descoberto o caminho das pedras
por sí próprio, mas... caso ainda não, uma coisa prática pra descobrir
inicialmente a forma de invasão é vendo os logs de conexão, que se não
me engano é o auth.log . Lá ele te fala quem conseguiu acesso e quem não
conseguiu.
Partindo do príncipio que você tem o IP do Infeliz, já dá pra saber se
ele usou um Ataque Dicionário (Usando uma lista de nomes e senhas
conhecidas através do John The Ripper).
Verifica aí quantas tentativas de acesso o Indivíduo teve até conseguir
acessar sua máquina.
Por hora é só!
Boa caçada!
Ah... é claro que pra sua maior segurança, faça um backup do Disco
Invadido para o caso da necessidade de reinstalação do Linux no Original.
Abraços
Felippe Silvestre
www.locainfra.com
On 2006-05-28 03:36, Marcelo Luiz de Laia wrote:
> Ola, Muito obrigado a todos que entenderam o meu desespero.
>
> É muito dificil voce convencer os "donos" da rede a liberar um subdominio
> pra voce! E eles tem razao! As brechas pra invasao sao potencializadas
> nesses casos! Dado isso, o meu desespero em resolver por aqui: na lista!
>
> Bem, verificando o /var/log, vi que existem ziloes de arquivos la.
Presumo
> que o dito cujo nao deletou nada!
>
> Tambem vi que o cara deu os seguintes comandos no .bash_history do root
>
####
> Eu virei o google de cabeca pra baixo e vi que esse y2kupdate e algo do
> irq! Mas, eu gostaria de saber como descobrir como ele me invadiu? Pois
> esse psyBNC e algo como um script irq, mas eu nao vi o egg rodando.
>
> Alguem que teria vivido ou presenciado algo parecido poderia me dizer o
> caminho das pedras para limpar o meu sistema, e me precaver, sem uma
> formatacao do sistema?
>
> A principio os logs estao todos la e nao deu um rm em tudo!!!!
>
> Obrigado
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]