Olá pessoal, Havia o ex-administrador dessa empresa que estamos prestando acessoria que propositalmente causava muitos problemas, desligava o firewall deixando funcionários sem acesso interno, email etc. Removia usuários do proxy de sacanagem para cortar o acesso à internet do cara, enfim, já dá para ter uma idéia....
De inicio trocamos todas as senhas do servidor, porém vem acontecendo coisas muito estranhas, linhas do firewall estão sendo apagadas, configurações estão sendo feitas para parar o boot do servidor caso ele reinicie, linhas de configuração do squid estão sendo apagadas propositalmente. E para piorar quem está fazendo isso sabe EXATAMENTE aonde as configurações mais críticas estão localizadas, quem está se logando no servidor está usando a conta root apesar de eu ter mudado a senha duas vezes e a senha é coisa cabeluda como Ajr#86&145 com mais de 16 caracteres porém o servidor não acusa nada "estranho", a única coisa que apareceu nos logs, além das mensagens de erro, foi um login feito com a conta root: root pts/1 201-27-14-20.dsl Tue Jun 19 15:13 - 16:35 (01:22) Depois deste login o SQUID foi reiniciado e centenas de logs de erro começaram a aparecer. Gostaria de saber se existe algum programa para auditar o servidor para que eu possa monitorá-lo e gravar tudo o que acontece nele, principalmente com a conta root ou de programas que possam ser usados como rootkit que mascaram as atividades dos mesmos. Já acionamos a polícia e demos entrada em um B.O pois a única pessoa que montou, configurou e sabe aonde as configurações do servidor estão foi este ex-funcionário, além disso o cara é muito esperto pois muitos rastros que poderiam encriminá-lo foram cuidadosamente apagadas com a ajuda do cron e por isso não podemos acusá-lo diretamente, porém pretendo pegar ele em flagrante. Obrigado. --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
