Ol�, > Hoje ao chegar no escritorio, encontrei a pagina inicial do servidor apache > modificada ( deface )
Hmm, que bela manh� voc� deve ter tido. :-) > Encontrei algumas coisa interessantes, como > 1-) 3 novos usuarios cadastrados na maquina > Foram retirados imediatamente Normal numa invas�o. Provavelmente com UID=0. > 2-) o /var/log foi totalmente apagado. Acho que vou montar um servidor de > LOG para deixar mais confiavel. Ja ouviu falar no LIDS? > 3-)Atualizei o apache, o PHP e outros programas que estavam > desatualizadas -> Foi burrada minha n�o ter atualizado, pois estava cheio de > servi�o e acabei deixando pra l�. Eles n�o perdoam. As vezes nem tem ninguem por tr�s do ataque. > Imagino que utilizaram um bug do PHP ou apache, conforme pude verificar na > pagina da conectiva. Bom, eles podem ter utilizado um bug no apache ou php para entrar na m�quina, mas pra ganhar root privileges, eles tiveram que explorar outra falha. Voc� tinha SSH habilitado para acesso externo? Tinha algum firewall na borda? Algo que voc� possa analisar os logs e tentar achar por onde foi a entrada? Antes de mais nada, rode o chkrootkit por exemplo, pra saber aonde eles esconderam as 'ferramentas'. Provavelmente ainda est�o no seu sistema. > Acontece que um determinado virtual host ( no caso um de webmail ), n�o > consigo colocar o site no ar novamente, pois sempre aparece a pagina > modificada. J� mudei a pagina, mas quando vou carregar a pagina index.php, > olhando o codigo fonte da mesma, carrega algumas linhas delas e depois > carrega a pagina do cara. Mas se olhar a pagina index.php est� OK. Veja se n�o mudaram o DocumentRoot. Verifica se n�o tem nenhuma linha de 'include' na tua p�gina, chamando algo estranho. Verifica data de modifica��o do arquivo, etc... N�o aconselho a utilizar esse servidor novamente, depois de comprometido e sem ter como analisar profundamente o n�vel de comprometimento do seu servidor, voc� n�o sabe como � f�cil eles entrarem de novo. Sua m�quina pode estar com v�rios bin�rios de sistema modificados. Por exemplo, o passwd pode estar 'modificado', e pode enviar a senha nova do root que voc� trocou logo cedo. O 'ps' pode estar escondendo processos que voc� n�o viu que est�o la rodando. O ideal quando nos deparamos com um servidor comprometido �: - Tire o cabo de rede primeiro. Se o hacker perceber que foi descoberto e voc� executou um shutdown na m�quina, ele tem tempo de sobra pra danificar seu servidor. - Efetue o shutdown - Utilize um Live CD como o INSERT por exemplo, fa�a um clone do seu HD - Fa�a uma an�lise bem detalhada. Procure pelos arquivos modificados desde a hora X. Procure por diret�rios escondidos (diret�rios com nome ".. " ponto, ponto, espa�o). - Execute um 'vasculhador' de rootkits como o chkrootkit ou o rootkithunter. - Procure determinar o ponto de entrada - Procure pelas ferramentas instaladas - Procure por bin�rios modificados - Se encontrou algum sniffer, � provavel que ele tenha capturado as senhas dos usu�rios que acessaram o webmail. Em seu novo servidor: Procure utilizar o LIDS caso queira uma seguran�a EXTRA. Monte as parti��es dos bin�rios como read-only (/bin, /sbin, /usr) Procure rodar os processos em modo chroot Utilize um IDS de Host (tripwire, hostsentry, AIDE) Tenha um firewall/IDS na entrada da sua rede fazendo log em banco de dados As recomenda��es e an�lises s�o muitas que n�o cabem num e-mail. Abra�o! Alejandro Flores Abra�o! --------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
