oi ricardo, então vc tá certo, e cada um tem que ver como configurar o seu. mas nesse caso... que ele tá sofrendo ataque sério, parece que é preciso tomar uma atitude rápido,
por isso eu separaria o server do apache, de todo o resto... e fecharia tudo. tudo mesmo exceto a porta 80 óbvio... ligava todos os logs, atualizava tudo, e ficava de olho. claro.. as páginas.. scripts ou php seriam um caso a parte.. teria que saber se essa parte está 100% OK.. e o básico.. é bem comum ser um caso interno... eu restringira tudo o que é acesso e senha... depois do fogo ter passado... aplicaria tudo oque você listou abaixo.. mas veja, cada um tem uma maneira de trabalhar... acredito que muitos até bemmmm melhores, []s Ricardo Stock wrote: > SalVe Sena > > então, voce falou em fechar tudo, voce não pode fechar tudo, deve-se fechar > as portas baixas, mas mesmo assim algumas devem ficar abertas no firewall e > não na maquinas, com exessão > > veja mu caso > > meu ip real 000.000.000.000 > firewall > roteador > nat > > porta 53 DNS -> 192.168.0.x maquina de DNS > porta 80 -> 192.168.0.Y server apache (aplicações) > porta 25 /110 -> 192.168.0.Z -> servidor de email > > só passa isso, mas as portas altas, estão abertas, lembre-se que o navegador > cria uma conexão com porta alta, aleatória para acessar paginas... por isto > que não se podem fechar as portas altas. > > outra dica se tem SQL 1433 ou mysql 3306 ou qualqur outra coisa padrão, mude > as portas de entrada, um exemplo, nenhum cliente meu acessa mysql > externamente, mais eu sim, como, conecto em uma porta alta tipo 15000 e faço > uma nat para 3306, e assim que outros serviços. > > Quanto ao dns, por segurança, deixe em outra maquina, se invadirem, será uma > maquina oca :-) > > eu to pensando ate em aprender a mexer em ambiente grafico, e tentar fazer > tudo com maquina virtual, DATACENTER te vende maquina virtual. > > Quanto aos ataques que o amigo disse, será que são mesmo ataques..... > > > Ricardo Stock > [email protected] > Skype: ricardostock - LinuxUser 243128. > > ----- Original Message ----- > From: <[email protected]> > To: "Lista de discussão do LoCoTeam Brasileiro" <[email protected]> > Sent: Tuesday, September 14, 2010 11:36 PM > Subject: Re: [Ubuntu-BR] Fw: [AJUDA URGENTE] Problema com invasão em meu > site! > > > salve ricado, > > ué? ele tem server de dns? e.... > na mesma máquina? > > interessante... > > bom, se eu estivesse sofrendo ataques, cortaria tudo o que é serviço > imediatamente, talvez separaria em outras máquinas, se precisasse te-las > funcionando. > acho que fica até mais fácil rastrear o invasor... > > []s > > > Ricardo Stock wrote: > >>>> eu fecharia absolutamente tudo, (FTP, DNS, etc, SSH só para os IPs que >>>> interessam por exemplo) e deixaria só o apache aberto... o LOGando >>>> tudo.. >>>> >>>> >> Se vc fechar 53 DNS o bind não atualiza e com isso vc fica fora do ar... >> vc >> deve engaiolar o bind, isso sim >> >> >> Ricardo Stock >> [email protected] >> Skype: ricardostock - LinuxUser 243128. >> >> ----- Original Message ----- >> From: <[email protected]> >> To: "Lista de discussão do LoCoTeam Brasileiro" >> <[email protected]> >> Sent: Tuesday, September 14, 2010 9:09 PM >> Subject: Re: [Ubuntu-BR] [AJUDA URGENTE] Problema com invasão em meu site! >> >> >> rapaizzzz, >> >> Ruin isso hein? >> Deixa eu perguntar, você tem certeza que foi invasão né? não é pau no >> seu equipamento não ? ou do software? >> >> bom, é difícil dar dicas sem conhecer o seu sistema, e ainda discutir >> ele na lista pode ser tão perigoso quanto! >> mas, se faça as seguintes perguntas, isso pode elucidar e, te dar idéias: >> >> 1) é uma aplicação feita por vocês mesmos? ou é um programa já de uso >> no mercado? se for um programa de renome, pega a versão mais nova... >> 2) o server é ubuntu mesmo? como tá o firewall? >> 3) como tá a distribuição de senhas? as vezes um integrante da equipe, >> que tenha acesso, pode estar fazendo uma piada com a turma... :s >> 4) está armazenado em um hosting pago que já apresenta uma segurança já >> fornecida pela própria empresa, ou ae na faculade mesmo onde uma migo >> teve que fazer? >> 5) nunca se esqueça das senhas *fortes*... >> >> >> >> agora, embora exista mais coisas para se prestar atenção, acho que com >> estas dicas, você pode ver onde estão os pontos fracos... >> tem que correr atras e eliminá-los... um por um... e dá trabalho.. >> >> pela pouca informação que vc forneceu... isso é oque me ocorre agora.. >> >> []s >> >> >> >> Mauro Risonho de Paula Assumpção wrote: >> >> >>> Você deve contratar um pentester para ver as falhas e se há possibilidade >>> de >>> invasão. >>> >>> Dá para resolver o "pós" invasão, mas preventivo é melhor que corretivo. >>> No >>> seu caso foi corretivo >>> >>> Caso tenha interesse, veja em PVT comigo >>> >>> Em 14 de setembro de 2010 18:31, Fábio Magnoni >>> <[email protected]>escreveu: >>> >>> >>> >>> >>>> Olá pessoal, >>>> >>>> Hoje estou sofrendo ataques ao site do evento que estou organizando. Já >>>> tentaram invadir o banco de dados, alterar senhas administrativas >>>> nossas, >>>> bugaram algumas coisas, o site foi derrubado por alguns momentos, até >>>> recolocá-lo novamente no ar. >>>> >>>> Alguém poderia ajudar com algum método que eu coloque para minimizar >>>> esses >>>> ataques? >>>> >>>> >>>> Obrigado desde já. >>>> -- >>>> Fábio Réa >>>> Eng. de Computação - PUC-Campinas 2010 >>>> Diretor de Recursos Humanos - Associação Informatica Junior - >>>> PUC-Campinas >>>> www.infojunior.com.br >>>> -- >>>> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece >>>> >>>> Lista de discussão Ubuntu Brasil >>>> Histórico, descadastramento e outras opções: >>>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br >>>> >>>> >>>> >>>> >> >> > > > -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
