Opa... :)
Paraquedas de novo, n�? :)) Mas � uma lista de discuss�o, afinal...
----- Original Message -----
From: "Lewis Ateu {EAR/BHOL}" <[EMAIL PROTECTED]>
To: "Fabricio Veloso" <[EMAIL PROTECTED]>; "linux br"
<[EMAIL PROTECTED]>
Sent: Tuesday, April 30, 2002 8:52 AM
Subject: (linux-br) Re: RES: (linux-br) FUI INVADIDO POR PROFISSIONAL Era:
(linux-br) Ataques Flood (DDOS)
[corta]
> Eu s� queria pegar os logs.
> Ou o IP de quem fez aquilo.
> Mas parece que n�o ser� possivel.
[corta]
Se vc j� formatou seu servidor, o que vc substituiu, certamente agora �
imposs�vel... Pode parar de ler, um abra��o pra vc, tudo de bom... ;)
MAS, se ele ainda n�o foi formatado, ainda temos algumas chances de vc
identificar o invasor. Vc disse que usaram um rootkit, certo? Ent�o � s�
colocar o tcpdump para "ouvir" e logar as conex�es feitas na porta que est�
"ouvindo". � batata... S� se o cara nunca mais aparecer. Ou se ele perceber
a sua arapuca. Estranho o backdoor responder, n�o responder, depois
responder de novo. Vc n�o ia desconfiar? De qualquer forma, � mais uma
chance... Bora fazer? Coloca o servidor "comprometido" de volta.
Primeiro, vc precisa saber quais portas pertencem ao rootkit. Assim que
obter essas informa��es, vc cria um arquivo com uma linha s�:
tcp and (port 12345 or port 54321 or port 11111)
Claro que vc vai substituir esses n�meros pelos n�meros reais das portas do
rootkit, n�? (D���...) E o fato dos par�metros estarem num arquivo vai
escond�-los na linha de comando.
A� rode o tcpdump:
tcpdump -s 1500 -F arquivo_que_vc_criou -w log > /dev/null 2>&1 &
Isso vai gravar no arquivo "log" todas as movimenta��es nas portas que
desejamos. Se por qualquer motivo vc encerrar o tcpdump, n�o se esque�a de
copiar o "log" pra outro lugar, pq ele vai zerar esse arquivo a cada nova
chamada, entendeu? tcpshow e ethereal ajudam a visualizar o conte�do do
arquivo...
May the power be with you,
regardz.
Edv
Limeira/SP
(viu, Cristine Hoepers - nicBR -, como eu aprendi a li��o? Thank you...)
Assinantes em 30/04/2002: 2246
Mensagens recebidas desde 07/01/1999: 164951
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
