Galera, me defrontei com um baita problema nessa volta de feriado... Ontem, verificando meu servidor de web, vi que tinha um usuário novo no bash.. aí fui ver os logs.. apagados.. resumindo: máquina invadida.
Meu ip foi bloqueado pelo nosso centro de informática e eu recebi um e-mail deles onde eles me enviaram um chat entre duas pessoas onde uma delas informa a outra que tinham conseguido invadir minha máquina. Não sei de onde o centro conseguiu essa conversa, mas acho que ficou registrado no log deles lá de alguma forma. O cara tinha meu ip e a senha de root da minha máquina... Nessa máquina eu tenho o ssh instalado numa porta alternativa e bloqueado acesso pelo root... no firewall estão abertas apenas a porta 80, a porta do ssh, e a do ftp.. apenas isso.. todo o resto fechado no iptables.. Tenho instalado na máquina o apache2, o mambo, o mysql 4.1 e o php 4.4.3... tinha também o snort, e um dos caras disse que ia utiliza-lo pra estudar a máquina.. eu tinha instalado e configurado também o mod_security do apache, usei pra configurar ele um tutorial do vivaolinux eu acho.. Isso tudo estou dizendo pra mostrar como tentei o máximo me preocupar com a segurança, mas mesmo assim, me dei mal... Bom, resumindo, pelo que dá pra entender da conversa, um dos caras disse que está ownando tudo que tenha mambo, no caso essa máquina tinha... Perguntas: 1) o que pode significar ownando? 2) Como se pode extrair do mambo a senha de root do sistema se não tem ligação uma coisa com a outra? 3) Por onde o cara pode ter entrado, sendo que, mesmo que ele tenha a senha de root, no sshd_conf eu tirei a opção de se poder logar com o root? 4) Quais medidas que eu posso tomar para evitar esse tipo de problema? 5) Como detectar antes esse tipo de invasão... É isso galera, espero que alguém possa me dar algumas luzes porque tenho mais servidores na mesma rede e tenho medo que o cara consiga invadir os outros também... Obrigado e um abraço a todos Daniel
