-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Ambiente de producao e delicado mesmo. Retirar da producao concordo tem que ser a primeira medida.
A segunda deve ser a investigacao de :
- - por onde entrou (vulnerabilidade)
- - o que foi modificado, verificar as datas de acesso aos arquivos e se possivel (preventivo) alguma ferramenta de checagem de binarios e arquivos
- - descobrindo isso ver ate onde o invasor foi, sera que ele comprometeu outras maquinas ou servicos da rede?
- - Qual era o interesse e o que motivou o invasor? Algo especifico ou foi apenas mais um alvo na nuvem da internet?
Isso tudo deve tomar algum tempo do administrador. mas sera um tempo bem empregado.
A solucao mais facil muitas vezes nao e a melhor, infelizmente :(
abracos
Oseias Ferreira wrote: | On Fri, 3 Dec 2004 16:19:28 -0200 | "Tekko" <[EMAIL PROTECTED]> wrote: | | |>Pessoal, |> |>Hoje ao chegar no escritorio, encontrei a pagina inicial do servidor apache |>modificada ( deface ) |> |>Encontrei algumas coisa interessantes, como |> |>1-) 3 novos usuarios cadastrados na maquina > Foram retirados imediatamente | | | Nestas circunst�ncias, eu... | Retirava a m�quina de produ��o, fazia os backups, e formatava a m�quina. | Os invasores podem ter deixado algo, para entrarem novamente, e isto � muito prov�vel. | O cara conseguiu permiss�o para apagar os logs, cadastrar usu�rios... | | -- | Oseias Ferreira. | Linux Counter #333243
- --
Time is nature's way of making sure that everything doesn't happen at once. - - SlackWare user #349702
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.3 (GNU/Linux)
iD8DBQFBsUEGLAGtxlTXNuERAtqXAJ9rlOacfzmfQeyxBWnS0cSPl1W7TwCgoux/ XwwMRdUFsck7hsUza19iqWE= =9I+M -----END PGP SIGNATURE-----
--------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
