Re: [Ubuntu-BR] Fw: [AJUDA URGENTE] Problema co m invasão em meu site!
oi ricardo, então vc tá certo, e cada um tem que ver como configurar o seu. mas nesse caso... que ele tá sofrendo ataque sério, parece que é preciso tomar uma atitude rápido, por isso eu separaria o server do apache, de todo o resto... e fecharia tudo. tudo mesmo exceto a porta 80 óbvio... ligava todos os logs, atualizava tudo, e ficava de olho. claro.. as páginas.. scripts ou php seriam um caso a parte.. teria que saber se essa parte está 100% OK.. e o básico.. é bem comum ser um caso interno... eu restringira tudo o que é acesso e senha... depois do fogo ter passado... aplicaria tudo oque você listou abaixo.. mas veja, cada um tem uma maneira de trabalhar... acredito que muitos até be melhores, []s Ricardo Stock wrote: > SalVe Sena > > então, voce falou em fechar tudo, voce não pode fechar tudo, deve-se fechar > as portas baixas, mas mesmo assim algumas devem ficar abertas no firewall e > não na maquinas, com exessão > > veja mu caso > > meu ip real 000.000.000.000 > firewall > roteador > nat > > porta 53 DNS -> 192.168.0.x maquina de DNS > porta 80 -> 192.168.0.Y server apache (aplicações) > porta 25 /110 -> 192.168.0.Z -> servidor de email > > só passa isso, mas as portas altas, estão abertas, lembre-se que o navegador > cria uma conexão com porta alta, aleatória para acessar paginas... por isto > que não se podem fechar as portas altas. > > outra dica se tem SQL 1433 ou mysql 3306 ou qualqur outra coisa padrão, mude > as portas de entrada, um exemplo, nenhum cliente meu acessa mysql > externamente, mais eu sim, como, conecto em uma porta alta tipo 15000 e faço > uma nat para 3306, e assim que outros serviços. > > Quanto ao dns, por segurança, deixe em outra maquina, se invadirem, será uma > maquina oca :-) > > eu to pensando ate em aprender a mexer em ambiente grafico, e tentar fazer > tudo com maquina virtual, DATACENTER te vende maquina virtual. > > Quanto aos ataques que o amigo disse, será que são mesmo ataques. > > > Ricardo Stock > ricardost...@bol.com.br > Skype: ricardostock - LinuxUser 243128. > > - Original Message - > From: > To: "Lista de discussão do LoCoTeam Brasileiro" > Sent: Tuesday, September 14, 2010 11:36 PM > Subject: Re: [Ubuntu-BR] Fw: [AJUDA URGENTE] Problema com invasão em meu > site! > > > salve ricado, > > ué? ele tem server de dns? e > na mesma máquina? > > interessante... > > bom, se eu estivesse sofrendo ataques, cortaria tudo o que é serviço > imediatamente, talvez separaria em outras máquinas, se precisasse te-las > funcionando. > acho que fica até mais fácil rastrear o invasor... > > []s > > > Ricardo Stock wrote: > eu fecharia absolutamente tudo, (FTP, DNS, etc, SSH só para os IPs que interessam por exemplo) e deixaria só o apache aberto... o LOGando tudo.. >> Se vc fechar 53 DNS o bind não atualiza e com isso vc fica fora do ar... >> vc >> deve engaiolar o bind, isso sim >> >> >> Ricardo Stock >> ricardost...@bol.com.br >> Skype: ricardostock - LinuxUser 243128. >> >> - Original Message - >> From: >> To: "Lista de discussão do LoCoTeam Brasileiro" >> >> Sent: Tuesday, September 14, 2010 9:09 PM >> Subject: Re: [Ubuntu-BR] [AJUDA URGENTE] Problema com invasão em meu site! >> >> >> rapai, >> >> Ruin isso hein? >> Deixa eu perguntar, você tem certeza que foi invasão né? não é pau no >> seu equipamento não ? ou do software? >> >> bom, é difícil dar dicas sem conhecer o seu sistema, e ainda discutir >> ele na lista pode ser tão perigoso quanto! >> mas, se faça as seguintes perguntas, isso pode elucidar e, te dar idéias: >> >> 1) é uma aplicação feita por vocês mesmos? ou é um programa já de uso >> no mercado? se for um programa de renome, pega a versão mais nova... >> 2) o server é ubuntu mesmo? como tá o firewall? >> 3) como tá a distribuição de senhas? as vezes um integrante da equipe, >> que tenha acesso, pode estar fazendo uma piada com a turma... :s >> 4) está armazenado em um hosting pago que já apresenta uma segurança já >> fornecida pela própria empresa, ou ae na faculade mesmo onde uma migo >> teve que fazer? >> 5) nunca se esqueça das senhas *fortes*... >> >> >> >> agora, embora exista mais coisas para se prestar atenção, acho que com >> estas dicas, você pode ver onde estão os pontos fracos... >> tem que correr atras e eliminá-los... um por um... e dá trabalho.. >> >> pela pouca informação que vc forneceu... isso é oque me ocorre agora.. >> >> []s >> >> >> >> Mauro Risonho de Paula Assumpção wrote: >> >> >>> Você deve contratar um pentester para ver as falhas e se há possibilidade >>> de >>> invasão. >>> >>> Dá para resolver o "pós" invasão, mas preventivo é melhor que corretivo. >>> No >>> seu caso foi corretivo >>> >>> Caso tenha interesse, veja em PVT comigo >>> >>> Em 14 de setembro de 2010 18:31, Fábio Magnoni >>> escreveu: >>> >>> >>> >>> Olá pessoal, Hoje estou sofrendo ataques ao site do evento que estou organizando. J
Re: [Ubuntu-BR] Fw: [AJUDA URGENTE] Problema co m invasão em meu site!
SalVe Sena então, voce falou em fechar tudo, voce não pode fechar tudo, deve-se fechar as portas baixas, mas mesmo assim algumas devem ficar abertas no firewall e não na maquinas, com exessão veja mu caso meu ip real 000.000.000.000 firewall roteador nat porta 53 DNS -> 192.168.0.x maquina de DNS porta 80 -> 192.168.0.Y server apache (aplicações) porta 25 /110 -> 192.168.0.Z -> servidor de email só passa isso, mas as portas altas, estão abertas, lembre-se que o navegador cria uma conexão com porta alta, aleatória para acessar paginas... por isto que não se podem fechar as portas altas. outra dica se tem SQL 1433 ou mysql 3306 ou qualqur outra coisa padrão, mude as portas de entrada, um exemplo, nenhum cliente meu acessa mysql externamente, mais eu sim, como, conecto em uma porta alta tipo 15000 e faço uma nat para 3306, e assim que outros serviços. Quanto ao dns, por segurança, deixe em outra maquina, se invadirem, será uma maquina oca :-) eu to pensando ate em aprender a mexer em ambiente grafico, e tentar fazer tudo com maquina virtual, DATACENTER te vende maquina virtual. Quanto aos ataques que o amigo disse, será que são mesmo ataques. Ricardo Stock ricardost...@bol.com.br Skype: ricardostock - LinuxUser 243128. - Original Message - From: To: "Lista de discussão do LoCoTeam Brasileiro" Sent: Tuesday, September 14, 2010 11:36 PM Subject: Re: [Ubuntu-BR] Fw: [AJUDA URGENTE] Problema com invasão em meu site! salve ricado, ué? ele tem server de dns? e na mesma máquina? interessante... bom, se eu estivesse sofrendo ataques, cortaria tudo o que é serviço imediatamente, talvez separaria em outras máquinas, se precisasse te-las funcionando. acho que fica até mais fácil rastrear o invasor... []s Ricardo Stock wrote: >>> eu fecharia absolutamente tudo, (FTP, DNS, etc, SSH só para os IPs que >>> interessam por exemplo) e deixaria só o apache aberto... o LOGando >>> tudo.. >>> > > Se vc fechar 53 DNS o bind não atualiza e com isso vc fica fora do ar... > vc > deve engaiolar o bind, isso sim > > > Ricardo Stock > ricardost...@bol.com.br > Skype: ricardostock - LinuxUser 243128. > > - Original Message - > From: > To: "Lista de discussão do LoCoTeam Brasileiro" > > Sent: Tuesday, September 14, 2010 9:09 PM > Subject: Re: [Ubuntu-BR] [AJUDA URGENTE] Problema com invasão em meu site! > > > rapai, > > Ruin isso hein? > Deixa eu perguntar, você tem certeza que foi invasão né? não é pau no > seu equipamento não ? ou do software? > > bom, é difícil dar dicas sem conhecer o seu sistema, e ainda discutir > ele na lista pode ser tão perigoso quanto! > mas, se faça as seguintes perguntas, isso pode elucidar e, te dar idéias: > > 1) é uma aplicação feita por vocês mesmos? ou é um programa já de uso > no mercado? se for um programa de renome, pega a versão mais nova... > 2) o server é ubuntu mesmo? como tá o firewall? > 3) como tá a distribuição de senhas? as vezes um integrante da equipe, > que tenha acesso, pode estar fazendo uma piada com a turma... :s > 4) está armazenado em um hosting pago que já apresenta uma segurança já > fornecida pela própria empresa, ou ae na faculade mesmo onde uma migo > teve que fazer? > 5) nunca se esqueça das senhas *fortes*... > > > > agora, embora exista mais coisas para se prestar atenção, acho que com > estas dicas, você pode ver onde estão os pontos fracos... > tem que correr atras e eliminá-los... um por um... e dá trabalho.. > > pela pouca informação que vc forneceu... isso é oque me ocorre agora.. > > []s > > > > Mauro Risonho de Paula Assumpção wrote: > >> Você deve contratar um pentester para ver as falhas e se há possibilidade >> de >> invasão. >> >> Dá para resolver o "pós" invasão, mas preventivo é melhor que corretivo. >> No >> seu caso foi corretivo >> >> Caso tenha interesse, veja em PVT comigo >> >> Em 14 de setembro de 2010 18:31, Fábio Magnoni >> escreveu: >> >> >> >>> Olá pessoal, >>> >>> Hoje estou sofrendo ataques ao site do evento que estou organizando. Já >>> tentaram invadir o banco de dados, alterar senhas administrativas >>> nossas, >>> bugaram algumas coisas, o site foi derrubado por alguns momentos, até >>> recolocá-lo novamente no ar. >>> >>> Alguém poderia ajudar com algum método que eu coloque para minimizar >>> esses >>> ataques? >>> >>> >>> Obrigado desde já. >>> -- >>> Fábio Réa >>> Eng. de Computação - PUC-Campinas 2010 >>> Diretor de Recursos Humanos - Associação Informatica Junior - >>> PUC-Campinas >>> www.infojunior.com.br >>> -- >>> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece >>> >>> Lista de discussão Ubuntu Brasil >>> Histórico, descadastramento e outras opções: >>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br >>> >>> >>> > > > -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br -- Mais sobre o Ubunt
Re: [Ubuntu-BR] Fw: [AJUDA URGENTE] Problema co m invasão em meu site!
salve ricado, ué? ele tem server de dns? e na mesma máquina? interessante... bom, se eu estivesse sofrendo ataques, cortaria tudo o que é serviço imediatamente, talvez separaria em outras máquinas, se precisasse te-las funcionando. acho que fica até mais fácil rastrear o invasor... []s Ricardo Stock wrote: >>> eu fecharia absolutamente tudo, (FTP, DNS, etc, SSH só para os IPs que >>> interessam por exemplo) e deixaria só o apache aberto... o LOGando tudo.. >>> > > Se vc fechar 53 DNS o bind não atualiza e com isso vc fica fora do ar... vc > deve engaiolar o bind, isso sim > > > Ricardo Stock > ricardost...@bol.com.br > Skype: ricardostock - LinuxUser 243128. > > - Original Message - > From: > To: "Lista de discussão do LoCoTeam Brasileiro" > Sent: Tuesday, September 14, 2010 9:09 PM > Subject: Re: [Ubuntu-BR] [AJUDA URGENTE] Problema com invasão em meu site! > > > rapai, > > Ruin isso hein? > Deixa eu perguntar, você tem certeza que foi invasão né? não é pau no > seu equipamento não ? ou do software? > > bom, é difícil dar dicas sem conhecer o seu sistema, e ainda discutir > ele na lista pode ser tão perigoso quanto! > mas, se faça as seguintes perguntas, isso pode elucidar e, te dar idéias: > > 1) é uma aplicação feita por vocês mesmos? ou é um programa já de uso > no mercado? se for um programa de renome, pega a versão mais nova... > 2) o server é ubuntu mesmo? como tá o firewall? > 3) como tá a distribuição de senhas? as vezes um integrante da equipe, > que tenha acesso, pode estar fazendo uma piada com a turma... :s > 4) está armazenado em um hosting pago que já apresenta uma segurança já > fornecida pela própria empresa, ou ae na faculade mesmo onde uma migo > teve que fazer? > 5) nunca se esqueça das senhas *fortes*... > > > > agora, embora exista mais coisas para se prestar atenção, acho que com > estas dicas, você pode ver onde estão os pontos fracos... > tem que correr atras e eliminá-los... um por um... e dá trabalho.. > > pela pouca informação que vc forneceu... isso é oque me ocorre agora.. > > []s > > > > Mauro Risonho de Paula Assumpção wrote: > >> Você deve contratar um pentester para ver as falhas e se há possibilidade >> de >> invasão. >> >> Dá para resolver o "pós" invasão, mas preventivo é melhor que corretivo. >> No >> seu caso foi corretivo >> >> Caso tenha interesse, veja em PVT comigo >> >> Em 14 de setembro de 2010 18:31, Fábio Magnoni >> escreveu: >> >> >> >>> Olá pessoal, >>> >>> Hoje estou sofrendo ataques ao site do evento que estou organizando. Já >>> tentaram invadir o banco de dados, alterar senhas administrativas nossas, >>> bugaram algumas coisas, o site foi derrubado por alguns momentos, até >>> recolocá-lo novamente no ar. >>> >>> Alguém poderia ajudar com algum método que eu coloque para minimizar >>> esses >>> ataques? >>> >>> >>> Obrigado desde já. >>> -- >>> Fábio Réa >>> Eng. de Computação - PUC-Campinas 2010 >>> Diretor de Recursos Humanos - Associação Informatica Junior - >>> PUC-Campinas >>> www.infojunior.com.br >>> -- >>> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece >>> >>> Lista de discussão Ubuntu Brasil >>> Histórico, descadastramento e outras opções: >>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br >>> >>> >>> > > > -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
[Ubuntu-BR] Fw: [AJUDA URGENTE] Problema co m invasão em meu site!
>>eu fecharia absolutamente tudo, (FTP, DNS, etc, SSH só para os IPs que >>interessam por exemplo) e deixaria só o apache aberto... o LOGando tudo.. Se vc fechar 53 DNS o bind não atualiza e com isso vc fica fora do ar... vc deve engaiolar o bind, isso sim Ricardo Stock ricardost...@bol.com.br Skype: ricardostock - LinuxUser 243128. - Original Message - From: To: "Lista de discussão do LoCoTeam Brasileiro" Sent: Tuesday, September 14, 2010 9:09 PM Subject: Re: [Ubuntu-BR] [AJUDA URGENTE] Problema com invasão em meu site! rapai, Ruin isso hein? Deixa eu perguntar, você tem certeza que foi invasão né? não é pau no seu equipamento não ? ou do software? bom, é difícil dar dicas sem conhecer o seu sistema, e ainda discutir ele na lista pode ser tão perigoso quanto! mas, se faça as seguintes perguntas, isso pode elucidar e, te dar idéias: 1) é uma aplicação feita por vocês mesmos? ou é um programa já de uso no mercado? se for um programa de renome, pega a versão mais nova... 2) o server é ubuntu mesmo? como tá o firewall? 3) como tá a distribuição de senhas? as vezes um integrante da equipe, que tenha acesso, pode estar fazendo uma piada com a turma... :s 4) está armazenado em um hosting pago que já apresenta uma segurança já fornecida pela própria empresa, ou ae na faculade mesmo onde uma migo teve que fazer? 5) nunca se esqueça das senhas *fortes*... agora, embora exista mais coisas para se prestar atenção, acho que com estas dicas, você pode ver onde estão os pontos fracos... tem que correr atras e eliminá-los... um por um... e dá trabalho.. pela pouca informação que vc forneceu... isso é oque me ocorre agora.. []s Mauro Risonho de Paula Assumpção wrote: > Você deve contratar um pentester para ver as falhas e se há possibilidade > de > invasão. > > Dá para resolver o "pós" invasão, mas preventivo é melhor que corretivo. > No > seu caso foi corretivo > > Caso tenha interesse, veja em PVT comigo > > Em 14 de setembro de 2010 18:31, Fábio Magnoni > escreveu: > > >> Olá pessoal, >> >> Hoje estou sofrendo ataques ao site do evento que estou organizando. Já >> tentaram invadir o banco de dados, alterar senhas administrativas nossas, >> bugaram algumas coisas, o site foi derrubado por alguns momentos, até >> recolocá-lo novamente no ar. >> >> Alguém poderia ajudar com algum método que eu coloque para minimizar >> esses >> ataques? >> >> >> Obrigado desde já. >> -- >> Fábio Réa >> Eng. de Computação - PUC-Campinas 2010 >> Diretor de Recursos Humanos - Associação Informatica Junior - >> PUC-Campinas >> www.infojunior.com.br >> -- >> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece >> >> Lista de discussão Ubuntu Brasil >> Histórico, descadastramento e outras opções: >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br >> >> -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br