Em S�b, 2002-04-27 �s 19:27, Wellington Terumi Uemura escreveu: > Como o alvo era o apache eu primeiro fiz um bloqueio de acesso na porta > 80 com o firewall, com os ips na m�o eu os adcionei no firewall > bloqueando o input e output dos mesmos na porta 80 e tamb�m fiz o > bloqueio no protocolo UDP para n�o enviar nenhuma resposta para ningu�m, > resultando assim como se o servidor n�o estivesse mais de p� (o que eles > achariam que o ataque foi bem sucedido).
Boa id�ia. > Depois de 5 min mais ou menos os ataques pararam e comecei a receber > tentativas de acesso via telnet por dois clientes brasileiros, naquela > �poca eu tinha lido algo a respeito de armadilhas tipo "honey pot" e > havia deixado o meu servidor trabalhando com um servidor de telnet > falso, s� para pegar os IPs de quem tentasse entrar. Nossa, muito louco. Um servidor de telnet falso? Como isso funciona? � pelo inetd mesmo? Ser� que vc n�o tem como me passar o link de onde vc leu isso? Gostaria de saber como fazer. > Como voc� deve ser pago para administrar a sua rede ai, voc� deve saber > como bloquear portas, ver logs, levantar um firewall. > Foi assim que resolvi o meu problema, n�o sei se o que fiz se aplica a voc�. Cara, aqui eu fui invadido. Eu tinha acabado de entrar na empresa e o servi�o de administra��o (que na verdade foi s� a instala��o) da proxy, q usa um conectiva 4, era terceirizado. E logo que eu entrei eles cortaram a empresa, mal eu tinha mudado a senha do root, eles entraram. Eu descobri que tinham usado um exploit chamado vadimII que eu encontrei no diret�rio do root pra abrir um servi�o lpr. Depois de fechar as portas q eles abriram no rc.local com comandos ipchains, n�o consegui fechar 3: 1024, 1025, 1026. Isso pq eu n�o conseguia achar onde estava a chamada dos servi�os e os servi�os. Ap�s executar um ps ax, eu encontrei um tal de sshdu. Dei find e achei um diret�rio assim: /dev/ida/.inet Onde estava um inet.tgz e servidores minusculos de nterm, ssh, login, etc... Movi o diret�rio para outo lugar e reiniciei o servidor. Assim as portas est�o todas fechadas denovo. S� tem um porem, meus logs est�o com tamanho 0 bytes e n�o logam. Eu executo o syslogd e o arquivo de configura��o ta normal, mas ele num loga nada. Estou montando um script de firewall novo com o ipchains, e reinstalarei o server, mas queria recuperar algumas coisas desse, inclusive os logs!! Agrade�o qualquer ajuda. -- Lewis Ateu [EAR/BHOL] Usu�rio GNU/Linux desde 1995. Uin: 12913566 Assinantes em 29/04/2002: 2245 Mensagens recebidas desde 07/01/1999: 164840 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
