[FUGSPBR] Invasao ...

irado furioso com tudo irado em freeshell.org
Seg Jul 1 22:24:20 BRT 2002 

Em 01 Jul 2002 21:57:43 -0300
Jeferson Buchner - Sys_Admin <jeferson em detec.unijui.tche.br>,
conhecido consumidor de drogas (Coke e McDonald's), escreveu:

>
> Este eh o maior problema pois praticamente todos os servicos (samba,
> arquivos, senhas, www, etc,  )estao nessa maquina e se eu a parar,
> para toda a rede dos laboratorios aqui da universidade, nem tanto
> pelos servicos mas pelos arquivos dos discos que nao possuo espaco
> suficiente em outro server pra migrar...

:-( mala suerte...


> nada de estranho no server, todos os servicos estao ok, sei que eh
> muito arriscado e nao eh o melhor caminho mas sem saber o que e como
> o fez ficarei vulneravel novamente,irei fazer um backup de tudo hj,
> mas  acredito pegar indicios de quem e como este ataque foi feito
>

hmmm.. acontece que mákinas comprometidas 'escondem' tudo. É possível,
se o carinha for mais do que um script-kid, que o seu syslogd esteja
paralizado.. e não voltará pro ar, portanto os seus log's não estão
registrando nada. É provável também que last não reflita mais nada
(examine tudo), datas nos log's..

ECA!!.. com mákina em produção.. :-\ 

Bem, se você voltar o backup:

a) você pode perder tudo
a-1) não há garantia de que a mákina estivesse comprometida ANTES.

se reinstalar.. bem, a porta que estava aberta antes, continuará
aberta. Por onde êle entrou, continuará a entrar - VOCÊ não sabe onde
está aberto, mas ÊLE sabe.

visite: 
http://www.antionline.com - e examine a base de dados dêles,
ferramentas, exploits e o escambau. Você precisa se registrar, mas é
free.. E também mantém um forum de segurança, onde você pode postar as
coisas que achou e uma galera *muito* especializada aparece pra
orientar/detonar o resto <bg>

http://www.antioffline.com - deve ter alguma coisa, não lembro bem..

o site do porcupine, do post anterior. Uma leitura vai bem, mesmo que
você não use o tct. Sugiro FORTEMENTE usar.

o neworder (http://neworder.box.sk/) pode ter algo, em algum lugar tem
tutoriais, o http://packetstorm.decepticons.org/ tá cheio de
ferramentas (ataque/defesa). Bem, por enquanto deve dar.

divirta-se :-)




---
---

saudações,
irado furioso com tudo
Linux User 179402
http://www.pchrgaza.org/special/ngo%20declaration.htm
http://www.terrornapalestina.tk/
http://www.indictsharon.net
http://www.antiwar.com
http://www.thehungersite.com/cgi-bin/WebObjects/CTDSites
______________________________________________
http://www2.fugspbr.org/mailman/listinfo/fugspbr

Mais detalhes sobre a lista de discussão freebsd