[FUGSPBR] Invasao ...

Alexandre asaugusto em fazenda.sp.gov.br
Ter Jul 2 10:16:47 BRT 2002 

Falai meu
que shit hein ?
bom
comece do meio mais chato !
verifique as versoes dos servidores rodando.
construa uma nova maquina em paralelo com as versoes atualizadas.
reveja todas as configuracoes no que dis respeito a permissoes.
oque roda nessa maquina ?
se for um bug de seguranca, provavelmente voce mata ai.
nao aparece nada de processos estranhos? nem um "."  (ponto)  rodando como
root?
Boa a objecao de um outro camadada daqui da lista, seu syslog pode estar
paralizado.
verifiqueo conf do syslog  linha por linha.
e  faca uma compilacao do syslog da mesma versao numa outra maquina da
mesma versao de S.O e jogue o binario em cima da que esta rodando e
restarte (pode ser que volte ao normal a gravacao de logs).
Verifique como esta seu conf do sshd.
salve tudo numa outra maquina antes de comecar a mexer.
se o cara deixou alguma marca, mesmo que demore, voce consegue encontrar.
nao mate a maquina !!!!!
se for fazer uma maquina nova, coloque bit imutavel em todos os arquivos
importantes.

mantenha contato para que possamos ajudar .


boa sorte





Jeferson Buchner - Sys_Admin wrote:

> >
> > > o fez ficarei vulneravel novamente,irei fazer um backup de tudo hj,
> >
> > não entendi bem o sentido de você fazer backup de máquina comprometida
> > (exceto backup de dados EXCLUSIVAMENTE).
>
> Exatamente o que mais me interessa sao os dados dos usuarios....
>
> >
> > minha pouca e má experiencia também diz que é um agente interno. Mesmo
> > porque você não disse se a mákina tem acesso à internet <bg>. Se for
>
> Tem sim acesso a net inclusive tb roda DNS, meu principal problema eh
> que esta maquina tem acesso remoto a todos meus usuarios, os arquivos de
> log estao sendo gerados, mas o que queria exatamente eh monitorar o
> arquivo onde ele esta gravando as senhas, saber qual processo o grava
> num determinado momento, para dai partir pra frente, saber que tipo de
> ferramenta ele utilizou, pois acredito sim ser como vc chamou de um
> script-kid.
>
> ______________________________________________
> http://www2.fugspbr.org/mailman/listinfo/fugspbr
-------------- Próxima Parte ----------
Um anexo não-texto foi limpo...
Nome: asaugusto.vcf
Tipo: text/x-vcard
Tamanho: 324 bytes
Descrição: Card for Alexandre
URL: <http://www.fug.com.br/pipermail/freebsd/attachments/20020702/190907dc/attachment.vcf>

Mais detalhes sobre a lista de discussão freebsd