Se era um servidor que fica de cara para a internet, você deveria ter feito uma espécie de lista com todos os md5sum dos arquivos de configuração e dos binários do sistema. Assim, você saberia se algo foi alterado.
Como você não dispõe desta informação, recomendo pegar os binários que você desconfia que tenham sido modificados e compare com os da uma instalação limpa da mesma versão. Tive duas experiências com isso: numa o invasor trocou o init e na outra o bash. Boa sorte! 2011/8/16 "Flávio R. Lopes" <[email protected]> > Bom dia pessoal. > Um novo cliente me chamou para analisar seu servidor (Slack 13.0), pois ele > acha que foi violado. > Quando eles fazem o login no servidor usando um usuário comum e ao executar > o comando "su -" para tornar-se superusuario não está pedindo mais a senha > do root. > Tentei verificar os logs e o history mas não detectei nada. Se houve alguma > invasão, o cara apagou os rastros... > > Algúem tem uma idéia do que seja ou por onde devo recomeçar a analisar este > servidor?? > > Abraço, > Flávio > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.**org/ <http://www.slackwarebrasil.org/> > http://groups.google.com/**group/slack-users-br<http://groups.google.com/group/slack-users-br> > > Antes de perguntar: > http://www.istf.com.br/**perguntas/ <http://www.istf.com.br/perguntas/> > > Para sair da lista envie um e-mail para: > slack-users-br+unsubscribe@**googlegroups.com<slack-users-br%[email protected]> > -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
