(linux-br)Ataques a Servidores LINUX !!! (XL)

Thu, 29 Apr 2004 08:21:20 -0700 

Pessoal,
Tenho tido ultimamente v�rios servidores atacados...A assinatura do ataque
apresenta arquivos bin�rios que v�o aumentando de tamanho e ficando
"pendurados" em processos de execu��o...Ou seja, cada arquivo "hackeado" que
fica em execu��o acaba trazendo muitos outros, e o processo vai ficando
enorme, at� o servidor cair.
Normalmente, quando se digita ps -x , observa-se os seguintes arquivos (mais
comuns): hostname, mount, umount, chmod, rm, ls, ps...etc.. alguns em status
[defunct]
Incr�vel � que n�o consigo elimin�-los...elimina-se com killall -9 e depois
eles voltam, ou seja, sempre fica algum escondidinho que chama os
demais...Mesmo com o tripwire detectando as altera��es dos arquivos, sempre
algum escapa...� um inferno!!...Normalmente � necess�rio, mais seguro e
r�pido reinstalar o servidor.
E n�o tenho conseguido identificar por onde o danado, ou danados entram...Na
maioria s�o instala��es conectiva 8.0 com todos os pacotes atualizad�ssimos
e todas as portas fechadas, "rodando" apache, sendmail, imap, xntpd, ssh...
Agora mesmo tenho um caso cuja ocorr�ncia foi h� 36 horas...Vejam o "log",
ainda n�o sei se � pista falsa:
Apr 27 20:33:29 server01 kswaps[16967]: log: Server listening on port 1983.
Apr 27 20:33:29 server01 kswaps[16967]: log: Generating 768 bit RSA key.
Apr 27 20:33:29 server01 kswaps[16967]: log: RSA key generation complete.
Apr 27 20:36:07 server01 kernel: crond uses obsolete (PF_INET,SOCK_PACKET)
Apr 27 20:36:07 server01 kernel: device eth0 entered promiscuous mode
Apr 27 20:36:07 server01 kernel: CSLIP: code copyright 1989 Regents of the
University of California
Apr 27 20:36:07 server01 kernel: PPP generic driver version 2.4.1

Algu�m tem alguma dica, algu�m j� passou por esse ataque??

Muito grato,

=================
     Carlos A Silva
 [EMAIL PROTECTED]
=================

---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br

Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html

Responder a