Verifica se isso acontece com esse user ou com todos os users. Tem como voce criar usuarios que nao precisam dar a senha no su. Eu no momento nao uso Slack, mas no Ubuntu do trabalho eu nao preciso digitar a senha de root. Meu usuario ja foi setado para nao ter que colocar senha. Pode ser isso. Se nao, melhor analisar a maquina se nao teve comprometimento.
Em 16 de agosto de 2011 13:36, Hav0k <[email protected]> escreveu: > o cara pode simplesmente ter trocado o /usr/bin/su por algum local root > exploit > mas vai aparecer alguma coisa no syslog, dmesg ou /var/log/messages se for > exploit msm. > outra coisa é tentar passar um bom anti rootkit. > valeu. > > > > 2011/8/17 Fabio Gomes dos Santos <[email protected]> > >> Se liga no suauth :) >> >> Pode ser que tenha uma entrada lá :P >> >> Att: >> >> >> 2011/8/16 Noilson Caio <[email protected]> >> >>> è uma boa observar se no syslog.conf tem a regra do facility authpriv, se >>> o cara mudou de privilégios, logou. procure o alvo do login. Se não tiver >>> entradas authpriv e sim auth, isso já é uma falha. >>> >>> Em 16 de agosto de 2011 09:52, Ellington Santos <[email protected] >>> > escreveu: >>> >>> Cara, existem N vulnerabilidades espalhadas por aí. Além da possibilidade >>>> de ter uma senha fraca nestes usuários permitidos ou até um ataque interno. >>>> >>>> >>>> >>>> >>>> 2011/8/16 "Flávio R. Lopes" <[email protected]> >>>> >>>>> ** >>>>> Olá Ellington. >>>>> >>>>> Pois é.....é como procurar uma agulha num palheiro... >>>>> E este server não fui eu quem configurou. >>>>> >>>>> Vou verificar o que vc sugere, mas diz uma coisa pra mim...por onde vc >>>>> acha que o cara tenha invadido?...tinha um firewall (meia boca, é >>>>> verdade), >>>>> mas o único serviço que estava ativo era o ssh, mas no >>>>> "/etc/ssh/sshd_config" tinha uma cláusula "Allow users nome_usuario" >>>>> determinando que o somente aquele usuário poderia logar via ssh. >>>>> Este gateway somente compartilhava a conexão e fazia também um proxy >>>>> para controlar o acesso dos usuarios. >>>>> >>>>> Alguma outra dica? >>>>> >>>>> >>>>> On 16-08-2011 09:25, Ellington Santos wrote: >>>>> >>>>> Se era um servidor que fica de cara para a internet, você deveria ter >>>>> feito uma espécie de lista com todos os md5sum dos arquivos de >>>>> configuração >>>>> e dos binários do sistema. Assim, você saberia se algo foi alterado. >>>>> >>>>> Como você não dispõe desta informação, recomendo pegar os binários que >>>>> você desconfia que tenham sido modificados e compare com os da uma >>>>> instalação limpa da mesma versão. Tive duas experiências com isso: numa o >>>>> invasor trocou o init e na outra o bash. >>>>> >>>>> Boa sorte! >>>>> >>>>> >>>>> >>>>> 2011/8/16 "Flávio R. Lopes" <[email protected]> >>>>> >>>>>> Bom dia pessoal. >>>>>> Um novo cliente me chamou para analisar seu servidor (Slack 13.0), >>>>>> pois ele acha que foi violado. >>>>>> Quando eles fazem o login no servidor usando um usuário comum e ao >>>>>> executar o comando "su -" para tornar-se superusuario não está pedindo >>>>>> mais >>>>>> a senha do root. >>>>>> Tentei verificar os logs e o history mas não detectei nada. Se houve >>>>>> alguma invasão, o cara apagou os rastros... >>>>>> >>>>>> Algúem tem uma idéia do que seja ou por onde devo recomeçar a analisar >>>>>> este servidor?? >>>>>> >>>>>> Abraço, >>>>>> Flávio >>>>>> >>>>>> -- >>>>>> GUS-BR - Grupo de Usuários de Slackware Brasil >>>>>> http://www.slackwarebrasil.org/ >>>>>> http://groups.google.com/group/slack-users-br >>>>>> >>>>>> Antes de perguntar: >>>>>> http://www.istf.com.br/perguntas/ >>>>>> >>>>>> Para sair da lista envie um e-mail para: >>>>>> [email protected] >>>>>> >>>>> >>>>> -- >>>>> GUS-BR - Grupo de Usuários de Slackware Brasil >>>>> http://www.slackwarebrasil.org/ >>>>> http://groups.google.com/group/slack-users-br >>>>> >>>>> Antes de perguntar: >>>>> http://www.istf.com.br/perguntas/ >>>>> >>>>> Para sair da lista envie um e-mail para: >>>>> [email protected] >>>>> >>>>> >>>>> -- >>>>> GUS-BR - Grupo de Usuários de Slackware Brasil >>>>> http://www.slackwarebrasil.org/ >>>>> http://groups.google.com/group/slack-users-br >>>>> >>>>> Antes de perguntar: >>>>> http://www.istf.com.br/perguntas/ >>>>> >>>>> Para sair da lista envie um e-mail para: >>>>> [email protected] >>>>> >>>> >>>> -- >>>> GUS-BR - Grupo de Usuários de Slackware Brasil >>>> http://www.slackwarebrasil.org/ >>>> http://groups.google.com/group/slack-users-br >>>> >>>> Antes de perguntar: >>>> http://www.istf.com.br/perguntas/ >>>> >>>> Para sair da lista envie um e-mail para: >>>> [email protected] >>>> >>> >>> >>> >>> -- >>> " Eu quero saber como renomear um arquivo " ele diz. >>> Por favor, é dia de pagamento, não é?! Mas eu estou de bom humor. >>> " Claro. Basta dar 'rm' e o nome do arquivo " >>> " Obrigado " >>> >>> Noilson Caio T. de Araújo >>> Linux Professional Institute Certification >>> LPI000182893 >>> Novell Certified Linux Administrator (CLA) >>> 10111916 >>> Novell Data Center Technical Specialist >>> http://ncaio.ithub.com.br >>> http://www.commandlinefu.com/commands/by/ncaio >>> http://www.dicas-l.com.br/autores/noilsoncaioteixeiradearaujo.php >>> >>> >>> -- >>> GUS-BR - Grupo de Usuários de Slackware Brasil >>> http://www.slackwarebrasil.org/ >>> http://groups.google.com/group/slack-users-br >>> >>> Antes de perguntar: >>> http://www.istf.com.br/perguntas/ >>> >>> Para sair da lista envie um e-mail para: >>> [email protected] >>> >> >> >> >> -- >> Fábio Santos >> [email protected] >> >> <http://br.linkedin.com/pub/f%C3%A1bio-santos/1b/20/422> >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.istf.com.br/perguntas/ >> >> Para sair da lista envie um e-mail para: >> [email protected] >> > > > > -- > Grato, > > J. Tozo > _ > °v° > /(S)\ SLACKWARE > ^ ^ Linux > _____________________ > because it works > > > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected] > -- Oscar Marques [email protected] http://www.dunkelheit.com.br @f117usbr <https://twitter.com/#%21/f117usbr> +55 21 9293-9343 ------------------------------------ Participe do I Hack'n Rio <http://hacknrio.org/> ------------------------------------ -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
