Em Seg, 2006-11-13 às 09:38 -0300, Daniel escreveu: > Olá pessoal. > > > > Estou com um problema sério em minha rede. > > Semana passada estava dando uma olhada nos logs como de costume e vi > que o log de saída estava enorme (2 Gb). Fui investigar e vi que > alguém invadiu o meu server e criou um servidor de jogo Counter Strike > nele. O Engraçado é que as únicas portas abertas de entrada são a 80 e > uma de ssh alternativa. > > Bom, tentei vasculhar como o cara entrou, mas não encontrei nada. > Resolvi refazer o servidor todo. (2 dias de trabalho). > > Bom, voltei do final de semana e lá estava tudo de novo. Não consigo > entender como o cara entrou, formatei a máquina, mudei as senhas, tem > apenas as duas portas abertas, mas ta tudo lá. O Login e root está > desabilitado para ssh... enfim, não sei o que o cara fez. E pra > piorar, o desgraçado apagou os logs todos. > > > > Alguém já passou por algo do tipo, com esses servers de counter > strike? Há algo padrão a se fazer? Você olhou o log para ver como ele entrou, se pela porta 80 ou ssh? Ele pode ter usado força bruta para entrar com um senha no ssh ou explorado uma vulnerabilidade na web, supondo que sua porta 80 seja um servidor web. []'s -- Fernando Ike - http://www.midstorm.org/~fike/weblog Linux User 303638 - Debian User 352
Attachment:
signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem assinada digitalmente