Olá pessoal, Gostaria de agradecer a todos pelas dicas e ajuda enviadas diretamente a mim e responderei aqui na lista para que todos possam acompanhar.
A verificação básica de usuários e grupos com poderes administrativos foi uma das primeiras coisas que eu fiz, contas e grupos "estranhos" foram desativados, depois foi feito um backup de todo o servidor "just in case". O login remoto do root via ssh também foi uma das coisas que desativei desde o inicio, aliás não sei como um administrador de sistema linux como ele pode deixar isso ativo, é espírito de porco mesmo. Eu utilizei duas ferramentas, Rootkit Hunter e Chkrootkit "just in case if..": http://www.kanenas.net/comments.php?y=06&m=05&entry=entry060502-073518 http://www.rootkit.nl/articles/rootkit_hunter_usage.html Foi encontrado alguns arquivos interessantes, bash, passwd, rlogin, ssh com assinatura diferente e links com nomes diferentes para estes arquivos alterados, no cron havia algumas tarefas do sitema e dos serviços rodando no sistema, porém um que passou despercebido por mim era um chamado "backup" esse script era o que limpava o rasto do que ele fazia nos logs do sistema(message, last, secure etc). Não apaguei nada, queria ainda saber o que mais o sistema anda fazendo de "estranho" Eu acredito que publiquei em algum lugar, talvez na underlinux não me lembro, sobre como fazer um log de instalação, fiz o comando: find />log E deixei alguns dias e continuei trabalhando, gerando bastante informação de manutenção no linux para saber se havia algo sendo capturado, depois fiz o comando novamente: find />log2 Comparei ambos: diff log log2>log3 Além dos arquivos criados pelo sistema e principalmente de mbox de usuário, eu achei um arquivo log escondido em /usr/local/var/local/_/spool/_/printers/Deskjet-HP.(123456) Nestes logs estavam todos os comandos que eu havia feito, incuindo senhas digitadas para a troca de senha do root, criação de novos usuários de email etc. Apaguei todos os binários estranhos e logs como aquele e re-instalei todos os arquivos, menos o rlogin. Sobre firewall, o cara usava um tal de Mohamed Firewall ou Mama's Firewall ou MonMotha's Firewall alguma coisa assim, além do script deixar tudo pronto ele ainda conseguiu configurar errado, refiz o firewall novamente na mão, havia coisa escrabosa como abrir porta 80 UDP dentre outras. Se eu tivesse permissão já teria formatado e re-instalado o servidor, porém não temos uma janela para poder parar o servidor e fazer isso, além disso meu contrato é de apenas administrar o servidor para mantê-lo funcionando, estamos negociando um novo contrato de implementação para isso, esse negócio de "quebra esse galho" não me convence, eu tenho impostos para pagar, despesas de combustível, tempo... E só vamos realizar o serviço mesmo que de madrugada se for pago e com contrato assinado, caso contrário eles podem procurar outro para "quebrar essa" para eles ainda mais de graça... É muito improvável que eles tomem este rumo já que eles querem tudo deles fora de lá, sem falar que não trabalhamos com programas piratas e o ambiente desta empresa era toda ilegal, refizemos o domínio 2003 deles com licenças originais, montamos o ambiente Citrix também todo original com a versão mais recente, eles compraram mais de 250 licenças de TS assim como licenças para o XP, antivirus corporativo da symantec etc. 4 novos servidores estão sendo cotados, estão entre HP, IBM e Dell assim como os desktops que eles querem padronizar o que eu acho ótimo. E só para finalizar este "jornal" fizemos dois B.O na delegacia próxima da empresa, um foi feito pela empresa que nos contratou e outro foi feito por nós mesmos, para nos resguardar de enventuais problemas. Além disso nossos advogados assim como os advogados da empresa que nos contratou estão trabalhando juntos para enviar uma notificação oficial registrada em cartório e tudo mais que eu não entendo a este antigo administrador, o sócio dele e a empresa que eles tem. A notificação é que ele pare de fazer o que ele vem fazendo e que se "eventualmente" a empresa parar por causa de configurações que estão sumindo ou qualquer coisa assim eles terão que pagar o prejuízo que a empresa tiver nesse tempo assim como a nossa hora técnica que colocamos a R$2.500/hora (bem caro mesmo). O interessante é que depois disso tudo ficou calmo novamente, o servidor tomou uma dose de maracujina e está tranqüilo..... Obrigado novamente pessoal, a todos que responderam aqui na lista e que enviaram mensagens particulares. Até o momento o problema está resolvido. --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
