(linux-br)invasoes qual medida tomar??? (fwd)

Lista Linux - SuperIP Sun, 28 Dec 2003 16:31:52 -0800

Pessoal boa tarde,

o negocio eh o seguinte: estou tendo contantes invasoes em uma de minhas 
maquinas e ja fiz quase tudo o que pude, como reistalar todo o sistema, 
melhorar o firewall atualizar todos dos pacotes que rodam na maquina 
dentre outros, porem UNS VAGABUNDOS nao sei como consguem entrar na mainha 
maquina tranquilamente acessando o /var/tmp e /tmp como ususario nobody ai 
colocam la arquivos os compilam e botam para executar e estes abrem potas que 
ficam rodando 
vejam:


*********
Conex�es Internet Ativas (sem os servidores)
Proto Recv-Q Send-Q Endere�o Local          Endere�o Remoto         Estado
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               OU�A
tcp        0      0 0.0.0.0:587             0.0.0.0:*               OU�A
tcp        0      0 0.0.0.0:110             0.0.0.0:*               OU�A
tcp        0      0 0.0.0.0:143             0.0.0.0:*               OU�A
tcp        0      0 0.0.0.0:80              0.0.0.0:*               OU�A
->tcp        0      0 0.0.0.0:21908           0.0.0.0:*            OU�A
tcp        0      0 0.0.0.0:21              0.0.0.0:*               OU�A
tcp        0      0 200.xxx.yy.z:53         0.0.0.0:*               OU�A
tcp        0      0 127.0.0.1:53            0.0.0.0:*               OU�A
->tcp      0      0 0.0.0.0:51638           0.0.0.0:*               OU�A
tcp        0      0 0.0.0.0:22              0.0.0.0:*               OU�A
tcp        0      0 0.0.0.0:25              0.0.0.0:*               OU�A
tcp        0      0 127.0.0.1:953           0.0.0.0:*               OU�A
->tcp        0      0 0.0.0.0:14588           0.0.0.0:*               OU�A
->tcp        0      0 0.0.0.0:20925           0.0.0.0:*               OU�A
->tcp        0      0 0.0.0.0:14589           0.0.0.0:*               OU�A
************
As setas coloquei para mostrar as portas que estavam abertas sendo que 
estas nao eram para estar ouvindo.

em outras vezes apos estes ataques a maquinas ficava com a interface de 
rede em modo pomisc, porem desta vez nao ficou mas tenho percebido que 
colocam o telnetd e aparentemente o mesmo fica ouvindo na porta 14588 e ai 
talvez seja a porta de entrada dos orfinarios, mas pergunto como conseguem 
fazer isto??? Alguem tem alguma ideia?? Tem algum software que posso usar 
para encontrar estes furos ou detectar falhas no sistema?? Sera que a 
melhor saida seria contratar uma equipe que meche com seguranca para 
cuidar disto??

sitema Linux redhat 7.3
kernel kernel-bigmem-2.4.22-0.nopatch.i686.rpm
sendmail 8.12.10
apache httpd-2.0.48
imap imap-2001a 
php 4.3.4
mysql mysql-3.23.58-1.73
ssh ssh-3.2.5

Agradeco qualquer ajuda.


---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br

Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html

(linux-br)invasoes qual medida tomar??? (fwd)

Responder a