Olá Ellington.
Pois é.....é como procurar uma agulha num palheiro...
E este server não fui eu quem configurou.
Vou verificar o que vc sugere, mas diz uma coisa pra mim...por onde vc
acha que o cara tenha invadido?...tinha um firewall (meia boca, é
verdade), mas o único serviço que estava ativo era o ssh, mas no
"/etc/ssh/sshd_config" tinha uma cláusula "Allow users nome_usuario"
determinando que o somente aquele usuário poderia logar via ssh.
Este gateway somente compartilhava a conexão e fazia também um proxy
para controlar o acesso dos usuarios.
Alguma outra dica?
On 16-08-2011 09:25, Ellington Santos wrote:
Se era um servidor que fica de cara para a internet, você deveria ter
feito uma espécie de lista com todos os md5sum dos arquivos de
configuração e dos binários do sistema. Assim, você saberia se algo
foi alterado.
Como você não dispõe desta informação, recomendo pegar os binários que
você desconfia que tenham sido modificados e compare com os da uma
instalação limpa da mesma versão. Tive duas experiências com isso:
numa o invasor trocou o init e na outra o bash.
Boa sorte!
2011/8/16 "Flávio R. Lopes" <[email protected]
<mailto:[email protected]>>
Bom dia pessoal.
Um novo cliente me chamou para analisar seu servidor (Slack 13.0),
pois ele acha que foi violado.
Quando eles fazem o login no servidor usando um usuário comum e ao
executar o comando "su -" para tornar-se superusuario não está
pedindo mais a senha do root.
Tentei verificar os logs e o history mas não detectei nada. Se
houve alguma invasão, o cara apagou os rastros...
Algúem tem uma idéia do que seja ou por onde devo recomeçar a
analisar este servidor??
Abraço,
Flávio
--
GUS-BR - Grupo de Usuários de Slackware Brasil
http://www.slackwarebrasil.org/
http://groups.google.com/group/slack-users-br
Antes de perguntar:
http://www.istf.com.br/perguntas/
Para sair da lista envie um e-mail para:
[email protected]
<mailto:slack-users-br%[email protected]>
--
GUS-BR - Grupo de Usuários de Slackware Brasil
http://www.slackwarebrasil.org/
http://groups.google.com/group/slack-users-br
Antes de perguntar:
http://www.istf.com.br/perguntas/
Para sair da lista envie um e-mail para:
[email protected]
--
GUS-BR - Grupo de Usuários de Slackware Brasil
http://www.slackwarebrasil.org/
http://groups.google.com/group/slack-users-br
Antes de perguntar:
http://www.istf.com.br/perguntas/
Para sair da lista envie um e-mail para:
[email protected]
