Pelo o que pude notar o invasor conseguiu acesso por web ! apenas me diga isso... Qual aplicação roda no web-server ?(aposto que seria um php!) Qual versão do kernel está rodando atualmente ? E se caso lhe interesse passar as dores de cabeça faça assim: procure o log de acesso do apache e filtre o conteudo assim. cat access_log |grep cmd= |less logo descubrirá o conteudo e tente executar você mesmo !
Em Segunda 13 Novembro 2006 14:39, Paulo de Souza Lima escreveu: > É bão tb. :-) > > Paulo de Souza Lima > Curitiba/PR > Linux User 432358 > > ----- Mensagem original ---- > De: Anacleto Pavão <[EMAIL PROTECTED]> > Para: Paulo de Souza Lima <[EMAIL PROTECTED]>; Lista Debian > <[email protected]> Enviadas: Segunda-feira, 13 de > Novembro de 2006 11:29:20 > Assunto: Re: Invasão... Cstrike > > Nao seria interessante instalar e configurar o SNORT? > > Paulo de Souza Lima <[EMAIL PROTECTED]> escreveu: A maioria > das invasões são facilitadas por pessoas ou equipamentos dentro da empresa. > > Sugiro que você verifique se há algum desktop infectado, pois ele pode > estar monitorando a rede de alguma outra máquina. Outra boa idéia é fazer a > varredura pesada das portas de fora para dentro e de dentro para fora com o > nmap (de fora pra dentro você vai ter de pedir para alguém fazer). Também é > uma boa idéia copiar os logs para outra máquina. Outra coisa: vc tem > certeza de que sua rede não tem backdoors (como acessos adsl ou discados > que não passem pelo firewall, ou ainda, mais de um IP externo no firewall)? > > Me esclarece uma coisa: Ele instalou esse servidor de Counter Strike no > firewall ou num servidor interno à rede? > > Abraços, > > Paulo de Souza Lima > Curitiba/PR > Linux User 432358 > > ----- Mensagem original ---- > De: Daniel <[EMAIL PROTECTED]> > Para: Lista Debian <[email protected]> > Enviadas: Segunda-feira, 13 de Novembro de 2006 9:38:19 > Assunto: Invasão... Cstrike > > <!-- /* Style Definitions */ p.MsoNormal, li.MsoNormal, > div.MsoNormal > {margin:0cm;margin-bottom:.0001pt;font-size:12.0pt;font-family:"Times New > Roman";}a:link, span.MsoHyperlink > {color:blue;text-decoration:underline;}a:visited, span.MsoHyperlinkFollowed > {color:purple;text-decoration:underline;} span.EstiloDeEmail17 > {font-family:Arial;color:windowtext;}_filtered {margin:70.85pt 3.0cm > 70.85pt 3.0cm;}div.Section1 {}--> Olá pessoal. > > Estou com um problema sério em minha rede. > Semana passada estava dando uma olhada nos logs como de costume e vi que > o log de saída estava enorme (2 Gb). Fui investigar e vi que alguém invadiu > o meu server e criou um servidor de jogo Counter Strike nele. O Engraçado é > que as únicas portas abertas de entrada são a 80 e uma de ssh alternativa. > > Bom, tentei vasculhar como o cara entrou, mas não encontrei nada. > Resolvi refazer o servidor todo. (2 dias de trabalho). Bom, voltei do final > de semana e lá estava tudo de novo. Não consigo entender como o cara > entrou, formatei a máquina, mudei as senhas, tem apenas as duas portas > abertas, mas ta tudo lá. O Login e root está desabilitado para ssh... > enfim, não sei o que o cara fez. E pra piorar, o desgraçado apagou os logs > todos. > > Alguém já passou por algo do tipo, com esses servers de counter strike? > Há algo padrão a se fazer? > Estou completamente perdido, qualquer dica, ajuda, sei lá, seria bem > vindo. > > Grato a todos > > Daniel > > > > > > > > > > O Yahoo! está de cara nova. Venha conferir! > > > > Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora! > > > > > > > > _______________________________________________________ > Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. > Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ -- keepTec - Consultoria de Sistemas Linux - +55 (11)95002638 - [EMAIL PROTECTED]
