Wellington Terumi Uemura escreveu:
> Havia o ex-administrador dessa empresa que estamos prestando acessoria
> que propositalmente causava muitos problemas, desligava o firewall
> deixando funcionários sem acesso interno, email etc. Removia usuários
> do proxy de sacanagem para cortar o acesso à internet do cara, enfim,
> já dá para ter uma idéia....
> De inicio trocamos todas as senhas do servidor, porém vem acontecendo
> coisas muito estranhas, linhas do firewall estão sendo apagadas,
> configurações estão sendo feitas para parar o boot do servidor caso
> ele reinicie, linhas de configuração do squid estão sendo apagadas
> propositalmente.
> E para piorar quem está fazendo isso sabe EXATAMENTE aonde as
> configurações mais críticas estão localizadas, quem está se logando no
> servidor está usando a conta root apesar de eu ter mudado a senha duas
> vezes e a senha é coisa cabeluda como Ajr#86&145 com mais de 16
> caracteres porém o servidor não acusa nada "estranho", a única coisa
> que apareceu nos logs, além das mensagens de erro, foi um login feito
> com a conta root:
> root pts/1 201-27-14-20.dsl Tue Jun 19 15:13 - 16:35 (01:22)
> Depois deste login o SQUID foi reiniciado e centenas de logs de erro
> começaram a aparecer.
> Gostaria de saber se existe algum programa para auditar o servidor
> para que eu possa monitorá-lo e gravar tudo o que acontece nele,
> principalmente com a conta root ou de programas que possam ser usados
> como rootkit que mascaram as atividades dos mesmos.
> Já acionamos a polícia e demos entrada em um B.O pois a única pessoa
> que montou, configurou e sabe aonde as configurações do servidor estão
> foi este ex-funcionário, além disso o cara é muito esperto pois muitos
> rastros que poderiam encriminá-lo foram cuidadosamente apagadas com a
> ajuda do cron e por isso não podemos acusá-lo diretamente, porém
> pretendo pegar ele em flagrante.
>
Olá,
Esta "máquina" não é mais de confiança... Se está querendo pegar o
cara e saber o que ele faz, aconselho "criar" outra e deixar essa como
"pote de mel"; se não quer mais ter dores de cabeça, faça uma cópia das
configurações e usuários, formate, instale o sistema "limpo" e então
recoloque as configurações e usuários, sendo esta última etapa revendo
todos os arquivos para não voltar uma configuração na qual permitia tal
operação desse ex-administrador.
--
Atenciosamente,
Junior Polegato
Um peregrino de problemas; Um pergaminho de soluções!
Página Profissional: http://www.juniorpolegato.com.br
---------------------------------------------------------------------------
Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utilização da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
