Daniel escribió:
Galera, me defrontei com um baita problema nessa volta de feriado...
Ontem, verificando meu servidor de web, vi que tinha um usuário novo no
bash.. aí fui ver os logs.. apagados.. resumindo: máquina invadida.
Meu ip foi bloqueado pelo nosso centro de informática e eu recebi um
e-mail deles onde eles me enviaram um chat entre duas pessoas onde uma
delas informa a outra que tinham conseguido invadir minha máquina. Não
sei de onde o centro conseguiu essa conversa, mas acho que ficou
registrado no log deles lá de alguma forma. O cara tinha meu ip e a
senha de root da minha máquina...
Nessa máquina eu tenho o ssh instalado numa porta alternativa e
bloqueado acesso pelo root... no firewall estão abertas apenas a porta
80, a porta do ssh, e a do ftp.. apenas isso.. todo o resto fechado no
iptables.. Tenho instalado na máquina o apache2, o mambo, o mysql 4.1 e
o php 4.4.3... tinha também o snort, e um dos caras disse que ia
utiliza-lo pra estudar a máquina.. eu tinha instalado e configurado
também o mod_security do apache, usei pra configurar ele um tutorial do
vivaolinux eu acho.. Isso tudo estou dizendo pra mostrar como tentei o
máximo me preocupar com a segurança, mas mesmo assim, me dei mal...
Bom, resumindo, pelo que dá pra entender da conversa, um dos caras disse
que está “ownando” tudo que tenha mambo, no caso essa máquina tinha...
Perguntas:
1) o que pode significar ownando?
2) Como se pode extrair do mambo a senha de root do sistema se não
tem ligação uma coisa com a outra?
3) Por onde o cara pode ter entrado, sendo que, mesmo que ele
tenha a senha de root, no sshd_conf eu tirei a opção de se poder logar
com o root?
4) Quais medidas que eu posso tomar para evitar esse tipo de problema?
5) Como detectar antes esse tipo de invasão...
É isso galera, espero que alguém possa me dar algumas luzes porque tenho
mais servidores na mesma rede e tenho medo que o cara consiga invadir os
outros também...
Obrigado e um abraço a todos
Daniel
Aproveitando a oportunidade... uma tarefa à qual estou me acostumando a
fazer é criar uma imagem da instalação de cada sistema que tenho sob
minha responsabilidade.
No caso de uma falha te ajudaria a levantar o sistema mais rápido, mas
óbvio que vai ser necessário cuidar imediatamente desse novo sistema
levantado porque senão ele será comprometido novamente.
Você poderia usá-la para conseguir alguns arquivos de configuração que
se perderam, por exemplo.
Boa sorte.
--
Miguel Da Silva
Administrador de Red
Centro de Matemática - http://www.cmat.edu.uy
Facultad de Ciencias - http://www.fcien.edu.uy
Universidad de la República - http://www.rau.edu.uy
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
