Se liga no suauth :) Pode ser que tenha uma entrada lá :P
Att: 2011/8/16 Noilson Caio <[email protected]> > è uma boa observar se no syslog.conf tem a regra do facility authpriv, se o > cara mudou de privilégios, logou. procure o alvo do login. Se não tiver > entradas authpriv e sim auth, isso já é uma falha. > > Em 16 de agosto de 2011 09:52, Ellington Santos > <[email protected]>escreveu: > > Cara, existem N vulnerabilidades espalhadas por aí. Além da possibilidade >> de ter uma senha fraca nestes usuários permitidos ou até um ataque interno. >> >> >> >> >> 2011/8/16 "Flávio R. Lopes" <[email protected]> >> >>> ** >>> Olá Ellington. >>> >>> Pois é.....é como procurar uma agulha num palheiro... >>> E este server não fui eu quem configurou. >>> >>> Vou verificar o que vc sugere, mas diz uma coisa pra mim...por onde vc >>> acha que o cara tenha invadido?...tinha um firewall (meia boca, é verdade), >>> mas o único serviço que estava ativo era o ssh, mas no >>> "/etc/ssh/sshd_config" tinha uma cláusula "Allow users nome_usuario" >>> determinando que o somente aquele usuário poderia logar via ssh. >>> Este gateway somente compartilhava a conexão e fazia também um proxy para >>> controlar o acesso dos usuarios. >>> >>> Alguma outra dica? >>> >>> >>> On 16-08-2011 09:25, Ellington Santos wrote: >>> >>> Se era um servidor que fica de cara para a internet, você deveria ter >>> feito uma espécie de lista com todos os md5sum dos arquivos de configuração >>> e dos binários do sistema. Assim, você saberia se algo foi alterado. >>> >>> Como você não dispõe desta informação, recomendo pegar os binários que >>> você desconfia que tenham sido modificados e compare com os da uma >>> instalação limpa da mesma versão. Tive duas experiências com isso: numa o >>> invasor trocou o init e na outra o bash. >>> >>> Boa sorte! >>> >>> >>> >>> 2011/8/16 "Flávio R. Lopes" <[email protected]> >>> >>>> Bom dia pessoal. >>>> Um novo cliente me chamou para analisar seu servidor (Slack 13.0), pois >>>> ele acha que foi violado. >>>> Quando eles fazem o login no servidor usando um usuário comum e ao >>>> executar o comando "su -" para tornar-se superusuario não está pedindo mais >>>> a senha do root. >>>> Tentei verificar os logs e o history mas não detectei nada. Se houve >>>> alguma invasão, o cara apagou os rastros... >>>> >>>> Algúem tem uma idéia do que seja ou por onde devo recomeçar a analisar >>>> este servidor?? >>>> >>>> Abraço, >>>> Flávio >>>> >>>> -- >>>> GUS-BR - Grupo de Usuários de Slackware Brasil >>>> http://www.slackwarebrasil.org/ >>>> http://groups.google.com/group/slack-users-br >>>> >>>> Antes de perguntar: >>>> http://www.istf.com.br/perguntas/ >>>> >>>> Para sair da lista envie um e-mail para: >>>> [email protected] >>>> >>> >>> -- >>> GUS-BR - Grupo de Usuários de Slackware Brasil >>> http://www.slackwarebrasil.org/ >>> http://groups.google.com/group/slack-users-br >>> >>> Antes de perguntar: >>> http://www.istf.com.br/perguntas/ >>> >>> Para sair da lista envie um e-mail para: >>> [email protected] >>> >>> >>> -- >>> GUS-BR - Grupo de Usuários de Slackware Brasil >>> http://www.slackwarebrasil.org/ >>> http://groups.google.com/group/slack-users-br >>> >>> Antes de perguntar: >>> http://www.istf.com.br/perguntas/ >>> >>> Para sair da lista envie um e-mail para: >>> [email protected] >>> >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.istf.com.br/perguntas/ >> >> Para sair da lista envie um e-mail para: >> [email protected] >> > > > > -- > " Eu quero saber como renomear um arquivo " ele diz. > Por favor, é dia de pagamento, não é?! Mas eu estou de bom humor. > " Claro. Basta dar 'rm' e o nome do arquivo " > " Obrigado " > > Noilson Caio T. de Araújo > Linux Professional Institute Certification > LPI000182893 > Novell Certified Linux Administrator (CLA) > 10111916 > Novell Data Center Technical Specialist > http://ncaio.ithub.com.br > http://www.commandlinefu.com/commands/by/ncaio > http://www.dicas-l.com.br/autores/noilsoncaioteixeiradearaujo.php > > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected] > -- Fábio Santos [email protected] <http://br.linkedin.com/pub/f%C3%A1bio-santos/1b/20/422> -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
