RES: [FUGSPBR] Hackeado...

Ter Out 30 17:38:57 BRST 2001

Paulo Quartieri wrote:

> Obrigado, Godoi.
>
> Verifiquei as datas, (28/10/01 - 17:09 hrs);
> o last somente mostra apartir de 29/10;
> rodei o chkrootkit (abaixo o log), o sujeito redirecionou o .history para o
> /dev/null.
> Também fechei o ftp e telnet.
>
> Lembras de algo mais para prevenir?
> Valeu.
> Paulo
>
> ROOTDIR is `/'
> Checking `basename'... Not vulnerable
> Checking `biff'... Not vulnerable
> Checking `chfn'... Not vulnerable
> Checking `chsh'... Not vulnerable
> Checking `cron'... Not vulnerable
> Checking `date'... Not vulnerable
> Checking `du'... Not vulnerable
> Checking `dirname'... Not vulnerable
> Checking `Echo'... Not vulnerable
> Checking `env'... Not vulnerable
> Checking `find'... Not vulnerable
> Checking `fingerd'... Not vulnerable
> Checking `gpm'... NOT TESTED
> Checking `grep'... Not vulnerable
> Checking `su'... Not vulnerable
> Checking `ifconfig'... Not vulnerable
> Checking `inetd'... Not vulnerable
> Checking `identd'... NOT TESTED
> Checking `killall'... Not vulnerable
> Checking `login'... Not vulnerable
> Checking `ls'... Not vulnerable
> Checking `mail'... Not vulnerable
> Checking `mingetty'... NOT TESTED
> Checking `netstat'... Not vulnerable
> Checking `passwd'... Not vulnerable
> Checking `pidof'... NOT TESTED
> Checking `pop2'... NOT TESTED
> Checking `pop3'... NOT TESTED
> Checking `ps'... Not vulnerable
> Checking `pstree'... NOT TESTED
> Checking `rpcinfo'... Not vulnerable
> Checking `rlogind'... Not vulnerable
> Checking `rshd'... Not vulnerable
> Checking `sendmail'... Not vulnerable
> Checking `sshd'... Not vulnerable
> Checking `syslogd'... Not vulnerable
> Checking `tar'... Not vulnerable
> Checking `tcpd'... NOT TESTED
> Checking `top'... Not vulnerable
> Checking `telnetd'... Not vulnerable
> Checking `timed'... Not vulnerable
> Checking `traceroute'... Not vulnerable
> Checking `write'... Not vulnerable
> Checking `asp'... Not vulnerable
> Checking `bindshell'... Not vulnerable
> Checking `z2'... Nothing deleted
> Checking `wted'... Nothing deleted
> Checking `rexedcs'... Not vulnerable
> Checking `sniffer'...
> ed0 is not promisc
> lp0 is not promisc
> gif0 is not promisc
> gif1 is not promisc
> Checking `aliens'... No suspect files
> Searching for sniffer's logs, it may take a while... Nothing found
> Searching for t0rn's default files and dirs... Nothing found
> Searching for Lion Worm default files and dirs... Nothing found
> Searching for RSHA's default files and dir... Nothing found
> Searching for RH-Sharpe's default files... Nothing found
> Searching for Ambient's rootkit (ark) default files and dirs... Nothing
> found
> Searching for suspicious files and dirs, it may take a while... Nothing
> found
> Searching for Ramen Worm files and dirs... Nothing found
> Searching for RK17 files and dirs... Nothing found
> Searching for Adore Worm... Nothing found
> Searching for anomalies in shell history files... Nothing found
> Checking `lkm'... Not Tested
>
> -----Mensagem original-----
> De: owner-fugspbr em fugspbr.org [mailto:owner-fugspbr em fugspbr.org]Em nome
> de Luiz Godoy
> Enviada em: terça-feira, 30 de outubro de 2001 7:55
> Para: fugspbr em fugspbr.org
> Assunto: Re: [FUGSPBR] Hackeado...
>
> Pelos logs que  voce mandou nao da para dizer muita coisa
> tente o seguinte:
> 1 - Veja as datas de criacao das paginas modificadas para
> saber  quando realmente ocorreu a invasao
> 2 - Use o comando last para ver os logins ocorridos nesse
> periodo, veja os arquivos .history de todos os usuarios
> que o last mostrar incluindo o root
> 3- use o comando ls -lat nos diretorios / /root /etc
> /sbin /usr/sbin para ver se existe arquivos modificados nesta data e
> verifique esses arquivos
> 4 - Se o hacker entrou uma vez ele deve voltar, é possivel que
> ele tenha instalado um backdoor no seu computador
> instale e rode o chkrootkit (/usr/ports/security)
> acho que isso da para comecar
> Godoy
>
> Paulo Quartieri wrote:
> >
> > Pessoal: Neste domingo, 29 nosso site foi hackeado. O sujeito trocou o
> > diretório da página, de '/usr/local/www/html´ para /usr/home/httpd/html´ e
> > alterou a senha do usuário qb. (Freebsd 4.3)
> >
> > Pergunta: Olhando esta parte do messages, dá para dizer como?
> Aparentemente
> > ele descobriu a senha (como?) do usuário qb e depois deu um su para o
> toor.
> >
> > O que devo ´fechar´ para evitar este tipo de invasão?
> >
> > Desde já, agradeço.
> >
> > Paulo Quartieri
> >
> > Oct 26 17:50:02 gw squid[303]: sslReadServer: FD 16: read failure: (54)
> > Connection reset by peer
> > Oct 27 14:18:53 gw ftpd[48284]: FTP LOGIN FAILED FROM
> > AVelizy-101-1-5-142.abo.wanadoo.fr, anonymous em ftp.mi
> > Oct 28 08:58:28 gw popper[50161]: Unable to obtain socket and address of
> > client: Socket is not connected
> > Oct 28 08:58:42 gw postfix/smtpd[50162]: fatal: accept connection:
> Software
> > caused connection abort
> > Oct 28 08:58:56 gw ftpd[50165]: getpeername (ftpd): Socket is not
> connected
> > Oct 28 08:59:48 gw popper[50168]: (v2.53) Unable to get canonical name of
> > client 66.21.117.5: Unknown host
> > Oct 28 17:09:02 gw su: qb to toor on /dev/ttyp2
> >
> > ----
> > Para sair da lista envie um e-mail para majordomo em fugspbr.org
> > com as palavras "unsubscribe fugspbr" no corpo da mensagem.
> ----
> Para sair da lista envie um e-mail para majordomo em fugspbr.org
> com as palavras "unsubscribe fugspbr" no corpo da mensagem.
>
> ----
> Para sair da lista envie um e-mail para majordomo em fugspbr.org
> com as palavras "unsubscribe fugspbr" no corpo da mensagem.

Bom voce falo que fecho o telnet voce fico sabendo do BUG do telnet???
da uma olhadinha nisso ae....

Cristiano Fernandes
System / Network Administrator

----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.