Olá.
Vá com calma. O outro te acusa, manda duas linhas de texto e vc diz amém?
Não que ele esteja errado, mas analise com calma, não se precipite. Primeiro
de tudo: existe uma técnica de ataque chamada spoof, onde alguém "rouba" o
IP de outro para se esconder, mudar de identidade e ficar impune. Alguém
pode ter feito de vc uma das vítimas.
Segundo, ninguém vai falar pra vc reinstalar o linux e nem eu vou falar que
isto só é solução para o MS-Windows. Vão mandar vc estudar segurança, isto
sim.
Terceiro, se vc não sabe se pode desabilitar o named, nem eu nem ninguém.
Sabe o que é pelo menos? Só assim vc vai saber se pode.
Quarto, dê uma olhada nos seus log em /var/log os arquivos "messages" e
"secure" principalmente. Use os comandos
$less <arquivo>
para lê-los. Para procurar por algo dentro dele, digite "/" seguida da
palavra procurada e <enter>; "q" se quiser sair; PgUp e PgDown, etc.
$grep <palavra> <arquivo>
para procurar a <palavra> dentro do <arquivo(s)> onde <arquivo> aceita
máscaras (* e ?), útil para usar um suposto IP de invasor como <palavra>
para procurar dentro do messages no lugar de <arquivo>, por exemplo.
Quinto, leia muito a respeito e peça muita informação, só assim vai entender
o que vai achar dentro deles. A maior parte é facil, mas tem que ter no
mínimo noção do que roda na sua máquina.
Boa sorte.
Marcio Merlone - Analista de Sistemas Pleno
e-mail: [EMAIL PROTECTED]
VIA NET.WORKS BRASIL - Atuação Local Alcance Global
Fone.:+55 11 3049-1180 ramal 1298 Fax:+ 55 11 3842-4588
http://www.vianetworks.com.br
----- Original Message -----
From: "linuxman" <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Sent: Tuesday, March 20, 2001 10:00 AM
Subject: (linux-br) Estou sendo invadido.
> Olá pessoal,
>
> Estou com um problema que até então não havia passado por isso, por isso
> estou tendo dificuldades em resolve-lo.
>
> O departamento da Telemar que recebe reclamações de invasão a sites já me
> informou duas vezes que meu servidor está disparando em cima de outros
> servidores.
>
> Eles sempre manda os logs da vítima :
>
> Mon Mar 12 21:56:22 2001
> > Int. Host:200.216.232.2 OLN Host:192.12.133.89 Protocol:06:TCP
> > Int. Port:53:domain OLN Port:3975:Unk Pkts:1 Bytes per Pkt:60
>
> Analizando o log do jeito que entendi, o ataque do meu server saiu da
porta
> 53, no meu etc/services esta porta é a porta nameserver name-domain
server,
> posso desabilitá-la, sem acarretar maiores problemas?
>
> Só para informação, este server está sendo usado num mini provedor que
> montei.
>
> Sei que vocês vão me dizer para reinstalar meu linux novamente, porque
quem
> fez isso sabe como entrar novamente nesta porta ou em outra, haja visto
que
> ele já consegui se infiltrar no sistema.
>
> Em qual log do meu server posso ver o que aconteceu de verdade?
>
> Desde já fico muito agradecido a quem puder me dar uma força.
>
> Rodrigo César de Freitas
>
>
>
Assinantes em 20/03/2001: 2184
Mensagens recebidas desde 07/01/1999: 104488
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
