Prezados, bom dia! Em minha empresa há um servidor que serve de gateway para a internet. Ele é bilateral, ou seja, é tanto proxy (squid transparent proxy) da intranet para a internet quanto serve de firewall da internet para a intranet, inclusive fazendo DNAT para algumas páginas em servidores internos e Apache Proxy para outros servidores HTTP internos.
Bem, quando eu entro no shell deste servidorvia SSH, algo está desconfigurado. Não tenho mais as cores do shell e aparece uma mensagem esquisita. Aparentemente, é só um desconforto visual, sem causar maiores transtornos. Entretanto, buscando informações e soluções na internet para o problema, acabei lendo que isto poderia ser resultado de alguma invasão. Isto me preocupou... Algo dizendo que talvez os meus binários (binutils) houvessem sido trocados... Sendo assim, como posso saber se fui ou não invadido? Não sei onde olhar... sei que o log do firewall (Shoreline) realmente barra muitas tentativas de utilização do meu Apache Proxy para proxiar acessos anônimos a outros sites para fora (muitos mesmo, da net para a net). Mas não sei mais o que procurar... meus olhos leigos não viram nada no syslog ou no auth.log, ou em outro local... Alguem pode me ajudar? Que arquivos eu preciso postar aqui para ajudar a descobrir? Não quero só que alguem chegue e me diga "é isto". Estou realmente disposto a aprender a administrar melhor a segurança de meus servidores. Assim, além de me ajudar a resolver este problema, quem pode me dar alguma dica? Há algum e-zine sobre segurança, algum site, algo que eu deva ler ou deva constantemente ir acompanhando? Achei muita coisa no google, mas não sei discernir o que presta, o que não presta e o que pode inclusive estar tentando me enganar a até fragilizar mais ainda a segurança... Ah, sim, meu servidor em questão é Ubuntu Gutsy. Seguem alguns dados iniciais: fil...@eainet:/$ uname -a Linux eainet 2.6.22-14-server #1 SMP Tue Feb 12 08:27:05 UTC 2008 i686 GNU/Linux fil...@eainet:/$ cat /etc/lsb-release DISTRIB_ID=Ubuntu DISTRIB_RELEASE=7.10 DISTRIB_CODENAME=gutsy DISTRIB_DESCRIPTION="Ubuntu 7.10" E aqui está uma demonstração do problema: fil...@eainet:/$ ls ls: unrecognized prefix: do ls: unparsable value for LS_COLORS environment variable bin dev initrd.img opt svn vmlinuz boot etc lib proc sys cdrom ftp lost+found root tmp core home media sbin usr davhome initrd mnt srv var E o $LS_COLORS: fil...@eainet:/$ env |grep LS_COLORS LS_COLORS=no=00:fi=00:di=01;34:ln=01;36:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.gz=01;31:*.bz2=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.avi=01;35:*.fli=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.flac=01;35:*.mp3=01;35:*.mpc=01;35:*.ogg=01;35:*.wav=01;35: Como podem ver, o sistema reclama que não entende o "do" no $LS_COLORS. Isto começou a acontecer "do nada". Ou melhor, sem nenhuma intervenção de alguem da empresa, ao menos. Muito obrigado por tudo!!! Abraços, FILIPE FEDALTO -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
