A quanto tempo voce nao atualizava a sua maquina e nem acompanhava os anuncios de vulnerabilidade?
Foram varios anuncios sobre a vulnerabilidade de algumas versoes do ssh. Existem alguns exploits para ssh que procuram maquinas vulneraveis e apos encontrar alguma, imediatamente inicializam o trabalho de buffer overflow. Quando a acao e executada com sucesso voce tem acesso a um shell como root na maquina vulneravel, ai � so fazer o que der na cabeca do cara. Sua versao deve ser muito antiga, pois ja a algumas versoes ja era disponibilizado o diretorio /var/empty e separacao de privilegios, assim se alguem conseguisse quebrar o ssh na fase de autenticacao, ele ficaria enjaulado neste diretorio. []'s e boa recontricao da maquina. Carlos Xavier Alexander Franca wrote: > > Ol�! > > Voc�s j� devem estar cheios de administradores Alice no Pa�s das Maravilhas. > > Talvez eu seja mais um por ter quase certeza de ter sido invadido e estar ao > lado de meu servidor "eliminado" por algo que talvez voc�s possam confirmar. > > Fui ver porque meu servidor que distribui internet velox ficou fora do ar e me > deparei com meu servidor com outra senha. > > Pior, o ps n�o funciona. N�o s� o ps. Praticamente tudo o que � executado d� > "Falha de segmenta��o". > > Fui ver o /var/log/messages e encontrei centenas de linhas como segue abaixo: > > Mar 7 15:18:54 rivendell in.identd[14868]: reply to 193.109.122.67: 2091, > 6667:USERID : OTHER: 0 > > Em tempo, o hostname do meu servidor � "rivendell". > > Tem dezenas de IPs diferentes nas linhas e essas linhas s�o centenas. > > Isso indica invas�o ou algum ataque? > > � poss�vel algu�m trocar a senha da m�quina sem usar nenhum servi�o? > > O �nico servi�o de rede que estava aberto era o ssh. O resto todo esta fora. > > O iptables tava fraco, apenas "redirecionava a internet", mas n�o havia nenhum > servi�o �bvio que desse acesso � m�quina. > > Algu�m pode me dizer se isso pode ser outro problema que n�o seja invas�o ou > ataque? > > Os ips das linhas que citei n�o existem em minha rede. Minha rede usa > 192.x.x.x > > []'s > Alexander > > -- > GUS-BR - Grupo de Usu�rios Slackware - BR > http://www.slackwarebrasil.org/ > http://www.linuxmag.com.br/mailman/listinfo/slack-users -- --------------------------------------- To reply, please remove NoSpam. from [EMAIL PROTECTED] Para responder, remova NoSpam. de [EMAIL PROTECTED] --------------------------------------- -- GUS-BR - Grupo de Usu�rios Slackware - BR http://www.slackwarebrasil.org/ http://www.linuxmag.com.br/mailman/listinfo/slack-users
