[FUGSPBR] Invasao ...

[Jeferson Buchner - Sys_Admin]

> não li toda a descrição (vou lê-la depois de assistir a casa do
> silvio, hehehee), mas IMHO tá na hora de você remover essa máquina de
> serviço, substituindo por outra. Será necessária análise post-mortem
> (mákina invadida é morta, e a sua quase que certamente foi). Procure
> (google) pelo The Coroner's Toolkit (TCT) e comece a ficar preocupado.
> Aliás, *muito* preocupado.

Este eh o maior problema pois praticamente todos os servicos (samba,
arquivos, senhas, www, etc,  )estao nessa maquina e se eu a parar, para
toda a rede dos laboratorios aqui da universidade, nem tanto pelos
servicos mas pelos arquivos dos discos que nao possuo espaco suficiente
em outro server pra migrar...
> 
> BTW, num primeiro momento, o checkrootkit que (acho) está no ports dá
> um primeiro alerta.

Ja o rodei e nao encontrou nada...somente alguns servicos que deram como
not tested....
Pensei em reisntalar o free mas gostaria de pegar quem o fez, pois como
disse tenho antcedentes de usuarios que atacaram nosso server mas dessa
vez nao consegui comecar a identificar quem poderia ter sido o melhor
seria para mim deixar assim por enquanto pois percebi que o mesmo ja
acontece a alguns dias e ate agora nao aconteceu mais nada de estranho
no server, todos os servicos estao ok, sei que eh muito arriscado e nao
eh o melhor caminho mas sem saber o que e como o fez ficarei vulneravel
novamente,irei fazer um backup de tudo hj, mas  acredito pegar indicios
de quem e como este ataque foi feito qdo o cara acessar o arquivo pois
acho que eh um user interno. para pegar o resultado, ja verifiquei se
ele se auto enviava qdo de uma nova conexao ou se havia algo no crontab
do root e isso nao acontece por isso de eu achar se tratar de um
problema interno.


______________________________________________
http://www2.fugspbr.org/mailman/listinfo/fugspbr