2009/2/6 Filipe Fedalto <[email protected]> > Prezados, bom dia! > > Em minha empresa há um servidor que serve de gateway para a internet. Ele é > bilateral, ou seja, é tanto proxy (squid transparent proxy) da intranet > para > a internet quanto serve de firewall da internet para a intranet, inclusive > fazendo DNAT para algumas páginas em servidores internos e Apache Proxy > para > outros servidores HTTP internos. > > Bem, quando eu entro no shell deste servidorvia SSH, algo está > desconfigurado. Não tenho mais as cores do shell e aparece uma mensagem > esquisita. Aparentemente, é só um desconforto visual, sem causar maiores > transtornos. > > Entretanto, buscando informações e soluções na internet para o problema, > acabei lendo que isto poderia ser resultado de alguma invasão. Isto me > preocupou... Algo dizendo que talvez os meus binários (binutils) houvessem > sido trocados... > > Sendo assim, como posso saber se fui ou não invadido? Não sei onde olhar... > sei que o log do firewall (Shoreline) realmente barra muitas tentativas de > utilização do meu Apache Proxy para proxiar acessos anônimos a outros sites > para fora (muitos mesmo, da net para a net). Mas não sei mais o que > procurar... meus olhos leigos não viram nada no syslog ou no auth.log, ou > em > outro local... > > Alguem pode me ajudar? Que arquivos eu preciso postar aqui para ajudar a > descobrir? > > Não quero só que alguem chegue e me diga "é isto". Estou realmente disposto > a aprender a administrar melhor a segurança de meus servidores. Assim, além > de me ajudar a resolver este problema, quem pode me dar alguma dica? Há > algum e-zine sobre segurança, algum site, algo que eu deva ler ou deva > constantemente ir acompanhando? Achei muita coisa no google, mas não sei > discernir o que presta, o que não presta e o que pode inclusive estar > tentando me enganar a até fragilizar mais ainda a segurança... > > Ah, sim, meu servidor em questão é Ubuntu Gutsy. Seguem alguns dados > iniciais: > > fil...@eainet:/$ uname -a > Linux eainet 2.6.22-14-server #1 SMP Tue Feb 12 08:27:05 UTC 2008 i686 > GNU/Linux > > fil...@eainet:/$ cat /etc/lsb-release > DISTRIB_ID=Ubuntu > DISTRIB_RELEASE=7.10 > DISTRIB_CODENAME=gutsy > DISTRIB_DESCRIPTION="Ubuntu 7.10" > > E aqui está uma demonstração do problema: > > fil...@eainet:/$ ls > ls: unrecognized prefix: do > ls: unparsable value for LS_COLORS environment variable > bin dev initrd.img opt svn vmlinuz > boot etc lib proc sys > cdrom ftp lost+found root tmp > core home media sbin usr > davhome initrd mnt srv var > > E o $LS_COLORS: > > fil...@eainet:/$ env |grep LS_COLORS > > LS_COLORS=no=00:fi=00:di=01;34:ln=01;36:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.gz=01;31:*.bz2=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.avi=01;35:*.fli=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.flac=01;35:*.mp3=01;35:*.mpc=01;35:*.ogg=01;35:*.wav=01;35: > > Como podem ver, o sistema reclama que não entende o "do" no $LS_COLORS. > Isto > começou a acontecer "do nada". Ou melhor, sem nenhuma intervenção de alguem > da empresa, ao menos. > > Muito obrigado por tudo!!! > > Abraços, > > FILIPE FEDALTO >
Se você desconfia que foi atacado, veja esta matéria: http://avi.alkalay.net/2007/02/na-trilha-do-invasor.html Veja as dicas e o que foi feito para descobrir. -- Humberto Xis http://xisberto.blogspot.com http://ostelematicos.blogspot.com "Sur la tuta tero estis unu lingvo kaj unu parlomaniero." - Gn 11,1 -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
