Cara, existem N vulnerabilidades espalhadas por aí. Além da possibilidade de ter uma senha fraca nestes usuários permitidos ou até um ataque interno.
2011/8/16 "Flávio R. Lopes" <[email protected]> > ** > Olá Ellington. > > Pois é.....é como procurar uma agulha num palheiro... > E este server não fui eu quem configurou. > > Vou verificar o que vc sugere, mas diz uma coisa pra mim...por onde vc acha > que o cara tenha invadido?...tinha um firewall (meia boca, é verdade), mas o > único serviço que estava ativo era o ssh, mas no "/etc/ssh/sshd_config" > tinha uma cláusula "Allow users nome_usuario" determinando que o somente > aquele usuário poderia logar via ssh. > Este gateway somente compartilhava a conexão e fazia também um proxy para > controlar o acesso dos usuarios. > > Alguma outra dica? > > > On 16-08-2011 09:25, Ellington Santos wrote: > > Se era um servidor que fica de cara para a internet, você deveria ter feito > uma espécie de lista com todos os md5sum dos arquivos de configuração e dos > binários do sistema. Assim, você saberia se algo foi alterado. > > Como você não dispõe desta informação, recomendo pegar os binários que você > desconfia que tenham sido modificados e compare com os da uma instalação > limpa da mesma versão. Tive duas experiências com isso: numa o invasor > trocou o init e na outra o bash. > > Boa sorte! > > > > 2011/8/16 "Flávio R. Lopes" <[email protected]> > >> Bom dia pessoal. >> Um novo cliente me chamou para analisar seu servidor (Slack 13.0), pois >> ele acha que foi violado. >> Quando eles fazem o login no servidor usando um usuário comum e ao >> executar o comando "su -" para tornar-se superusuario não está pedindo mais >> a senha do root. >> Tentei verificar os logs e o history mas não detectei nada. Se houve >> alguma invasão, o cara apagou os rastros... >> >> Algúem tem uma idéia do que seja ou por onde devo recomeçar a analisar >> este servidor?? >> >> Abraço, >> Flávio >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.istf.com.br/perguntas/ >> >> Para sair da lista envie um e-mail para: >> [email protected] >> > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected] > > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected] > -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
