è uma boa observar se no syslog.conf tem a regra do facility authpriv, se o cara mudou de privilégios, logou. procure o alvo do login. Se não tiver entradas authpriv e sim auth, isso já é uma falha.
Em 16 de agosto de 2011 09:52, Ellington Santos <[email protected]>escreveu: > Cara, existem N vulnerabilidades espalhadas por aí. Além da possibilidade > de ter uma senha fraca nestes usuários permitidos ou até um ataque interno. > > > > > 2011/8/16 "Flávio R. Lopes" <[email protected]> > >> ** >> Olá Ellington. >> >> Pois é.....é como procurar uma agulha num palheiro... >> E este server não fui eu quem configurou. >> >> Vou verificar o que vc sugere, mas diz uma coisa pra mim...por onde vc >> acha que o cara tenha invadido?...tinha um firewall (meia boca, é verdade), >> mas o único serviço que estava ativo era o ssh, mas no >> "/etc/ssh/sshd_config" tinha uma cláusula "Allow users nome_usuario" >> determinando que o somente aquele usuário poderia logar via ssh. >> Este gateway somente compartilhava a conexão e fazia também um proxy para >> controlar o acesso dos usuarios. >> >> Alguma outra dica? >> >> >> On 16-08-2011 09:25, Ellington Santos wrote: >> >> Se era um servidor que fica de cara para a internet, você deveria ter >> feito uma espécie de lista com todos os md5sum dos arquivos de configuração >> e dos binários do sistema. Assim, você saberia se algo foi alterado. >> >> Como você não dispõe desta informação, recomendo pegar os binários que >> você desconfia que tenham sido modificados e compare com os da uma >> instalação limpa da mesma versão. Tive duas experiências com isso: numa o >> invasor trocou o init e na outra o bash. >> >> Boa sorte! >> >> >> >> 2011/8/16 "Flávio R. Lopes" <[email protected]> >> >>> Bom dia pessoal. >>> Um novo cliente me chamou para analisar seu servidor (Slack 13.0), pois >>> ele acha que foi violado. >>> Quando eles fazem o login no servidor usando um usuário comum e ao >>> executar o comando "su -" para tornar-se superusuario não está pedindo mais >>> a senha do root. >>> Tentei verificar os logs e o history mas não detectei nada. Se houve >>> alguma invasão, o cara apagou os rastros... >>> >>> Algúem tem uma idéia do que seja ou por onde devo recomeçar a analisar >>> este servidor?? >>> >>> Abraço, >>> Flávio >>> >>> -- >>> GUS-BR - Grupo de Usuários de Slackware Brasil >>> http://www.slackwarebrasil.org/ >>> http://groups.google.com/group/slack-users-br >>> >>> Antes de perguntar: >>> http://www.istf.com.br/perguntas/ >>> >>> Para sair da lista envie um e-mail para: >>> [email protected] >>> >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.istf.com.br/perguntas/ >> >> Para sair da lista envie um e-mail para: >> [email protected] >> >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.istf.com.br/perguntas/ >> >> Para sair da lista envie um e-mail para: >> [email protected] >> > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected] > -- " Eu quero saber como renomear um arquivo " ele diz. Por favor, é dia de pagamento, não é?! Mas eu estou de bom humor. " Claro. Basta dar 'rm' e o nome do arquivo " " Obrigado " Noilson Caio T. de Araújo Linux Professional Institute Certification LPI000182893 Novell Certified Linux Administrator (CLA) 10111916 Novell Data Center Technical Specialist http://ncaio.ithub.com.br http://www.commandlinefu.com/commands/by/ncaio http://www.dicas-l.com.br/autores/noilsoncaioteixeiradearaujo.php -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
