RES: [FUGSPBR] Hackeado...
Paulo Quartieri
di em hipercheque.com.br
Ter Out 30 15:57:54 BRST 2001
Obrigado, Godoi.
Verifiquei as datas, (28/10/01 - 17:09 hrs);
o last somente mostra apartir de 29/10;
rodei o chkrootkit (abaixo o log), o sujeito redirecionou o .history para o
/dev/null.
Também fechei o ftp e telnet.
Lembras de algo mais para prevenir?
Valeu.
Paulo
ROOTDIR is `/'
Checking `basename'... Not vulnerable
Checking `biff'... Not vulnerable
Checking `chfn'... Not vulnerable
Checking `chsh'... Not vulnerable
Checking `cron'... Not vulnerable
Checking `date'... Not vulnerable
Checking `du'... Not vulnerable
Checking `dirname'... Not vulnerable
Checking `Echo'... Not vulnerable
Checking `env'... Not vulnerable
Checking `find'... Not vulnerable
Checking `fingerd'... Not vulnerable
Checking `gpm'... NOT TESTED
Checking `grep'... Not vulnerable
Checking `su'... Not vulnerable
Checking `ifconfig'... Not vulnerable
Checking `inetd'... Not vulnerable
Checking `identd'... NOT TESTED
Checking `killall'... Not vulnerable
Checking `login'... Not vulnerable
Checking `ls'... Not vulnerable
Checking `mail'... Not vulnerable
Checking `mingetty'... NOT TESTED
Checking `netstat'... Not vulnerable
Checking `passwd'... Not vulnerable
Checking `pidof'... NOT TESTED
Checking `pop2'... NOT TESTED
Checking `pop3'... NOT TESTED
Checking `ps'... Not vulnerable
Checking `pstree'... NOT TESTED
Checking `rpcinfo'... Not vulnerable
Checking `rlogind'... Not vulnerable
Checking `rshd'... Not vulnerable
Checking `sendmail'... Not vulnerable
Checking `sshd'... Not vulnerable
Checking `syslogd'... Not vulnerable
Checking `tar'... Not vulnerable
Checking `tcpd'... NOT TESTED
Checking `top'... Not vulnerable
Checking `telnetd'... Not vulnerable
Checking `timed'... Not vulnerable
Checking `traceroute'... Not vulnerable
Checking `write'... Not vulnerable
Checking `asp'... Not vulnerable
Checking `bindshell'... Not vulnerable
Checking `z2'... Nothing deleted
Checking `wted'... Nothing deleted
Checking `rexedcs'... Not vulnerable
Checking `sniffer'...
ed0 is not promisc
lp0 is not promisc
gif0 is not promisc
gif1 is not promisc
Checking `aliens'... No suspect files
Searching for sniffer's logs, it may take a while... Nothing found
Searching for t0rn's default files and dirs... Nothing found
Searching for Lion Worm default files and dirs... Nothing found
Searching for RSHA's default files and dir... Nothing found
Searching for RH-Sharpe's default files... Nothing found
Searching for Ambient's rootkit (ark) default files and dirs... Nothing
found
Searching for suspicious files and dirs, it may take a while... Nothing
found
Searching for Ramen Worm files and dirs... Nothing found
Searching for RK17 files and dirs... Nothing found
Searching for Adore Worm... Nothing found
Searching for anomalies in shell history files... Nothing found
Checking `lkm'... Not Tested
-----Mensagem original-----
De: owner-fugspbr em fugspbr.org [mailto:owner-fugspbr em fugspbr.org]Em nome
de Luiz Godoy
Enviada em: terça-feira, 30 de outubro de 2001 7:55
Para: fugspbr em fugspbr.org
Assunto: Re: [FUGSPBR] Hackeado...
Pelos logs que voce mandou nao da para dizer muita coisa
tente o seguinte:
1 - Veja as datas de criacao das paginas modificadas para
saber quando realmente ocorreu a invasao
2 - Use o comando last para ver os logins ocorridos nesse
periodo, veja os arquivos .history de todos os usuarios
que o last mostrar incluindo o root
3- use o comando ls -lat nos diretorios / /root /etc
/sbin /usr/sbin para ver se existe arquivos modificados nesta data e
verifique esses arquivos
4 - Se o hacker entrou uma vez ele deve voltar, é possivel que
ele tenha instalado um backdoor no seu computador
instale e rode o chkrootkit (/usr/ports/security)
acho que isso da para comecar
Godoy
Paulo Quartieri wrote:
>
> Pessoal: Neste domingo, 29 nosso site foi hackeado. O sujeito trocou o
> diretório da página, de '/usr/local/www/html´ para /usr/home/httpd/html´ e
> alterou a senha do usuário qb. (Freebsd 4.3)
>
> Pergunta: Olhando esta parte do messages, dá para dizer como?
Aparentemente
> ele descobriu a senha (como?) do usuário qb e depois deu um su para o
toor.
>
> O que devo ´fechar´ para evitar este tipo de invasão?
>
> Desde já, agradeço.
>
> Paulo Quartieri
>
> Oct 26 17:50:02 gw squid[303]: sslReadServer: FD 16: read failure: (54)
> Connection reset by peer
> Oct 27 14:18:53 gw ftpd[48284]: FTP LOGIN FAILED FROM
> AVelizy-101-1-5-142.abo.wanadoo.fr, anonymous em ftp.mi
> Oct 28 08:58:28 gw popper[50161]: Unable to obtain socket and address of
> client: Socket is not connected
> Oct 28 08:58:42 gw postfix/smtpd[50162]: fatal: accept connection:
Software
> caused connection abort
> Oct 28 08:58:56 gw ftpd[50165]: getpeername (ftpd): Socket is not
connected
> Oct 28 08:59:48 gw popper[50168]: (v2.53) Unable to get canonical name of
> client 66.21.117.5: Unknown host
> Oct 28 17:09:02 gw su: qb to toor on /dev/ttyp2
>
> ----
> Para sair da lista envie um e-mail para majordomo em fugspbr.org
> com as palavras "unsubscribe fugspbr" no corpo da mensagem.
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
Mais detalhes sobre a lista de discussão freebsd