Caro amigo n�o posso afirmar nada com certeza, tamb�m acho que ningu�m pode, esse tipo de coisa parece loucura, mas acontece. Existe um esquema chamado rootkit, que pode ser instalado em seu servidor, com ele o cara consegue "ownar" sua m�quina, para ele ter conseguido instalar esse suposto rootkit vc pode ter falhado em algum ponto, seja no uso de senhas f�ceis, permitir que o root logue atrav�s de ssh, usar softwares com vulnerabilidades, enfim podem ser muitas coisas.
Mas eu fiz minha parte. Acesse este site para obter informa��es. http://www.chkrootkit.org/
Alexander Franca wrote:
Ol�!
Voc�s j� devem estar cheios de administradores Alice no Pa�s das Maravilhas.
Talvez eu seja mais um por ter quase certeza de ter sido invadido e estar ao lado de meu servidor "eliminado" por algo que talvez voc�s possam confirmar.
Fui ver porque meu servidor que distribui internet velox ficou fora do ar e me deparei com meu servidor com outra senha.
Pior, o ps n�o funciona. N�o s� o ps. Praticamente tudo o que � executado d� "Falha de segmenta��o".
Fui ver o /var/log/messages e encontrei centenas de linhas como segue abaixo:
Mar 7 15:18:54 rivendell in.identd[14868]: reply to 193.109.122.67: 2091, 6667:USERID : OTHER: 0
Em tempo, o hostname do meu servidor � "rivendell".
Tem dezenas de IPs diferentes nas linhas e essas linhas s�o centenas.
Isso indica invas�o ou algum ataque?
� poss�vel algu�m trocar a senha da m�quina sem usar nenhum servi�o?
O �nico servi�o de rede que estava aberto era o ssh. O resto todo esta fora.
O iptables tava fraco, apenas "redirecionava a internet", mas n�o havia nenhum servi�o �bvio que desse acesso � m�quina.
Algu�m pode me dizer se isso pode ser outro problema que n�o seja invas�o ou ataque?
Os ips das linhas que citei n�o existem em minha rede. Minha rede usa 192.x.x.x
[]'s Alexander
-- GUS-BR - Grupo de Usu�rios Slackware - BR http://www.slackwarebrasil.org/ http://www.linuxmag.com.br/mailman/listinfo/slack-users
