On Mon, 8 Mar 2004, Alexander Franca wrote: > Ol�!
Oi > > Voc�s j� devem estar cheios de administradores Alice no Pa�s das Maravilhas. Essa lista eh igual coracao de mae, sempre cabe mais um... > > Talvez eu seja mais um por ter quase certeza de ter sido invadido e estar ao > lado de meu servidor "eliminado" por algo que talvez voc�s possam confirmar. > > Fui ver porque meu servidor que distribui internet velox ficou fora do ar e me > deparei com meu servidor com outra senha. > > Pior, o ps n�o funciona. N�o s� o ps. Praticamente tudo o que � executado d� > "Falha de segmenta��o". Arruinaram suas libs? Eh o que parece para mim.. > > Fui ver o /var/log/messages e encontrei centenas de linhas como segue abaixo: > > Mar 7 15:18:54 rivendell in.identd[14868]: reply to 193.109.122.67: 2091, > 6667:USERID : OTHER: 0 O identd estava apenas respondendo o pedido que o IP 193.109.122.67 fez quando sua maquina tentou conectar na porta 6667 dele. Isso diz respeito a alguem da sua rede (ou entao quem invadiu sua maquina) tentando conectar no servidor Ede.NL.EU.UnderNet.Org da Rede UnderNet.org. Se nenhum dos "meus clientes" tem permissao para usar IRC ou ninguem conhece esse servico, eu ficaria REALMENTE preocupado. Por ficaria preocupado? Sua maquina acaba de ser invadida para ser usada como passaporte para entrar em redes de IRC. > > Em tempo, o hostname do meu servidor � "rivendell". Belo nome... > > Tem dezenas de IPs diferentes nas linhas e essas linhas s�o centenas. > > Isso indica invas�o ou algum ataque? > > � poss�vel algu�m trocar a senha da m�quina sem usar nenhum servi�o? Trocar a senha da maquina? Voce esta falando da senha de root? Se os caras conseguiram acesso de super-usuario, fazem o que quiser a hora que quiser :) > > O �nico servi�o de rede que estava aberto era o ssh. O resto todo esta fora. Eh o suficiente para te invadirem. Favor checar se seu SSH esta atualizado, e a necessidade de ter ele aberto para a internet.. Alias, tem certeza que era o unico? De uma olhada no /etc/inetd.conf, parece que tem pelo menos o in.identd rodando tambem :) > > O iptables tava fraco, apenas "redirecionava a internet", mas n�o havia nenhum > servi�o �bvio que desse acesso � m�quina. Nesse ponto (de apenas "redirecionar") acho que nem precisamos se preocupar. > > Algu�m pode me dizer se isso pode ser outro problema que n�o seja invas�o ou > ataque? Te pago uma cerveja se isso nao for uma invasao. > > Os ips das linhas que citei n�o existem em minha rede. Minha rede usa > 192.x.x.x > > []'s > Alexander > []x Felipe "openglx" PS: ah, nao facam flames pela forma que respondi o email :P -- GUS-BR - Grupo de Usu�rios Slackware - BR http://www.slackwarebrasil.org/ http://www.linuxmag.com.br/mailman/listinfo/slack-users
