Obrigado a todos pelo retorno, Cara, na verdade houve falha de minha parte por não restringir o usuário root para acesso no console, nem pelo ssh. Acontece que, embora sempre ler na lista assuntos dessa natureza, preferi apenas bloquear no firewall o acesso a porta 22, deixando apenas acesso da nossa rede (minha empresa) e da eth0 (rede interna da prefeitura). Por se tratar de prefeitura e sabendo que é sempre alvo disso por motivos políticos, entre outros, eu deveria dar mais atenção a esse fato, porém agora vou tentar recuperar pela forma que os colegas informaram, e depois adotar as seguintes medidas de segurança: - Bloquear acesso do root via console e liberar apenas um usuário com conta bash para isso; - Mudar as permissões SUID do comando su para apena o usuário/grupo responsável para manutenções; - Impedir acesso do root no ssh; - Existem também vários daemons que monitoram modificações no sistema de arquivos; módulos carregáveis no apache para proteger invasões por ele, enfim, uma série de ferramentas interessantes conforme lí em um livro sobre firewall em linux avançado.
Abraço a todos Valcir. > Oi, > Precisa saber mais coisas ainda. Como foi que ele conseguiu acesso root? Há > outra falha em algum lugar. > Por influência do OpenBSD (que fica chateando quando o root faz login), > normalmente não permito acesso root via ssh e restrinjo o acesso via su. > É possível, entretanto, que o atacante tenha aprendido a explorar alguma > fraqueza que estava aberta. Coisa de black hat. E se foi black hat, o seu > log, mesmo recuperado, pode ter informação não confiável porque é provável > que um cara esperto assim tenha usado outra máquina que não a dele para fazer > o ataque. --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
