o cara pode simplesmente ter trocado o /usr/bin/su por algum local root exploit mas vai aparecer alguma coisa no syslog, dmesg ou /var/log/messages se for exploit msm. outra coisa é tentar passar um bom anti rootkit. valeu.
2011/8/17 Fabio Gomes dos Santos <[email protected]> > Se liga no suauth :) > > Pode ser que tenha uma entrada lá :P > > Att: > > > 2011/8/16 Noilson Caio <[email protected]> > >> è uma boa observar se no syslog.conf tem a regra do facility authpriv, se >> o cara mudou de privilégios, logou. procure o alvo do login. Se não tiver >> entradas authpriv e sim auth, isso já é uma falha. >> >> Em 16 de agosto de 2011 09:52, Ellington Santos >> <[email protected]>escreveu: >> >> Cara, existem N vulnerabilidades espalhadas por aí. Além da possibilidade >>> de ter uma senha fraca nestes usuários permitidos ou até um ataque interno. >>> >>> >>> >>> >>> 2011/8/16 "Flávio R. Lopes" <[email protected]> >>> >>>> ** >>>> Olá Ellington. >>>> >>>> Pois é.....é como procurar uma agulha num palheiro... >>>> E este server não fui eu quem configurou. >>>> >>>> Vou verificar o que vc sugere, mas diz uma coisa pra mim...por onde vc >>>> acha que o cara tenha invadido?...tinha um firewall (meia boca, é verdade), >>>> mas o único serviço que estava ativo era o ssh, mas no >>>> "/etc/ssh/sshd_config" tinha uma cláusula "Allow users nome_usuario" >>>> determinando que o somente aquele usuário poderia logar via ssh. >>>> Este gateway somente compartilhava a conexão e fazia também um proxy >>>> para controlar o acesso dos usuarios. >>>> >>>> Alguma outra dica? >>>> >>>> >>>> On 16-08-2011 09:25, Ellington Santos wrote: >>>> >>>> Se era um servidor que fica de cara para a internet, você deveria ter >>>> feito uma espécie de lista com todos os md5sum dos arquivos de configuração >>>> e dos binários do sistema. Assim, você saberia se algo foi alterado. >>>> >>>> Como você não dispõe desta informação, recomendo pegar os binários que >>>> você desconfia que tenham sido modificados e compare com os da uma >>>> instalação limpa da mesma versão. Tive duas experiências com isso: numa o >>>> invasor trocou o init e na outra o bash. >>>> >>>> Boa sorte! >>>> >>>> >>>> >>>> 2011/8/16 "Flávio R. Lopes" <[email protected]> >>>> >>>>> Bom dia pessoal. >>>>> Um novo cliente me chamou para analisar seu servidor (Slack 13.0), pois >>>>> ele acha que foi violado. >>>>> Quando eles fazem o login no servidor usando um usuário comum e ao >>>>> executar o comando "su -" para tornar-se superusuario não está pedindo >>>>> mais >>>>> a senha do root. >>>>> Tentei verificar os logs e o history mas não detectei nada. Se houve >>>>> alguma invasão, o cara apagou os rastros... >>>>> >>>>> Algúem tem uma idéia do que seja ou por onde devo recomeçar a analisar >>>>> este servidor?? >>>>> >>>>> Abraço, >>>>> Flávio >>>>> >>>>> -- >>>>> GUS-BR - Grupo de Usuários de Slackware Brasil >>>>> http://www.slackwarebrasil.org/ >>>>> http://groups.google.com/group/slack-users-br >>>>> >>>>> Antes de perguntar: >>>>> http://www.istf.com.br/perguntas/ >>>>> >>>>> Para sair da lista envie um e-mail para: >>>>> [email protected] >>>>> >>>> >>>> -- >>>> GUS-BR - Grupo de Usuários de Slackware Brasil >>>> http://www.slackwarebrasil.org/ >>>> http://groups.google.com/group/slack-users-br >>>> >>>> Antes de perguntar: >>>> http://www.istf.com.br/perguntas/ >>>> >>>> Para sair da lista envie um e-mail para: >>>> [email protected] >>>> >>>> >>>> -- >>>> GUS-BR - Grupo de Usuários de Slackware Brasil >>>> http://www.slackwarebrasil.org/ >>>> http://groups.google.com/group/slack-users-br >>>> >>>> Antes de perguntar: >>>> http://www.istf.com.br/perguntas/ >>>> >>>> Para sair da lista envie um e-mail para: >>>> [email protected] >>>> >>> >>> -- >>> GUS-BR - Grupo de Usuários de Slackware Brasil >>> http://www.slackwarebrasil.org/ >>> http://groups.google.com/group/slack-users-br >>> >>> Antes de perguntar: >>> http://www.istf.com.br/perguntas/ >>> >>> Para sair da lista envie um e-mail para: >>> [email protected] >>> >> >> >> >> -- >> " Eu quero saber como renomear um arquivo " ele diz. >> Por favor, é dia de pagamento, não é?! Mas eu estou de bom humor. >> " Claro. Basta dar 'rm' e o nome do arquivo " >> " Obrigado " >> >> Noilson Caio T. de Araújo >> Linux Professional Institute Certification >> LPI000182893 >> Novell Certified Linux Administrator (CLA) >> 10111916 >> Novell Data Center Technical Specialist >> http://ncaio.ithub.com.br >> http://www.commandlinefu.com/commands/by/ncaio >> http://www.dicas-l.com.br/autores/noilsoncaioteixeiradearaujo.php >> >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.istf.com.br/perguntas/ >> >> Para sair da lista envie um e-mail para: >> [email protected] >> > > > > -- > Fábio Santos > [email protected] > > <http://br.linkedin.com/pub/f%C3%A1bio-santos/1b/20/422> > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected] > -- Grato, J. Tozo _ °v° /(S)\ SLACKWARE ^ ^ Linux _____________________ because it works -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
