Opa! Fiquei curioso, não opiniei até
agora por desconhecer alguma forma de auxiliar, mas, pq o uso do PHP no
WEBServer(Apache) pode permitir isto? O quê deveria ser travado?
Pelo o que pude notar o invasor conseguiu acesso por
web !
apenas me diga isso...
Qual aplicação roda no web-server ?(aposto que seria um php!)
Qual versão do kernel está rodando atualmente ?
E se caso lhe interesse passar as dores de cabeça faça assim:
procure o log de acesso do apache e filtre o conteudo assim.
cat access_log |grep cmd= |less
logo descubrirá o conteudo e tente executar você mesmo !
Em Segunda 13 Novembro 2006 14:39, Paulo de Souza Lima escreveu:
> É bão tb. :-)
>
> Paulo de Souza Lima
> Curitiba/PR
> Linux User 432358
>
> ----- Mensagem original ----
> De: Anacleto Pavão <anacletopavao@yahoo.com.br>
> Para: Paulo de Souza Lima <paulocwb2003@yahoo.com.br>; Lista
Debian
> <debian-user-portuguese@lists.debian.org> Enviadas: Segunda-feira,
13 de
> Novembro de 2006 11:29:20
> Assunto: Re: Invasão... Cstrike
>
> Nao seria interessante instalar e configurar o SNORT?
>
> Paulo de Souza Lima <paulocwb2003@yahoo.com.br> escreveu:
A maioria
> das invasões são facilitadas por pessoas ou equipamentos dentro da
empresa.
>
> Sugiro que você verifique se há algum desktop infectado, pois ele
pode
> estar monitorando a rede de alguma outra máquina. Outra boa idéia
é fazer a
> varredura pesada das portas de fora para dentro e de dentro para fora
com o
> nmap (de fora pra dentro você vai ter de pedir para alguém fazer).
Também é
> uma boa idéia copiar os logs para outra máquina. Outra coisa: vc tem
> certeza de que sua rede não tem backdoors (como acessos adsl ou discados
> que não passem pelo firewall, ou ainda, mais de um IP externo no firewall)?
>
> Me esclarece uma coisa: Ele instalou esse servidor de Counter Strike
no
> firewall ou num servidor interno à rede?
>
> Abraços,
>
> Paulo de Souza Lima
> Curitiba/PR
> Linux User 432358
>
> ----- Mensagem original ----
> De: Daniel <da_picon@yahoo.com.br>
> Para: Lista Debian <debian-user-portuguese@lists.debian.org>
> Enviadas: Segunda-feira, 13 de Novembro de 2006 9:38:19
> Assunto: Invasão... Cstrike
>
> <!-- /* Style Definitions */ p.MsoNormal,
li.MsoNormal,
> div.MsoNormal
> {margin:0cm;margin-bottom:.0001pt;font-size:12.0pt;font-family:"Times
New
> Roman";}a:link, span.MsoHyperlink
> {color:blue;text-decoration:underline;}a:visited, span.MsoHyperlinkFollowed
> {color:purple;text-decoration:underline;} span.EstiloDeEmail17
> {font-family:Arial;color:windowtext;}_filtered {margin:70.85pt 3.0cm
> 70.85pt 3.0cm;}div.Section1 {}--> Olá
pessoal.
>
> Estou com um problema sério em minha rede.
> Semana passada estava dando uma olhada nos logs como de costume
e vi que
> o log de saída estava enorme (2 Gb). Fui investigar e vi que alguém
invadiu
> o meu server e criou um servidor de jogo Counter Strike nele. O Engraçado
é
> que as únicas portas abertas de entrada são a 80 e uma de ssh alternativa.
>
> Bom, tentei vasculhar como o cara entrou, mas não encontrei
nada.
> Resolvi refazer o servidor todo. (2 dias de trabalho). Bom, voltei
do final
> de semana e lá estava tudo de novo. Não consigo entender como o cara
> entrou, formatei a máquina, mudei as senhas, tem apenas as duas portas
> abertas, mas ta tudo lá. O Login e root está desabilitado para ssh...
> enfim, não sei o que o cara fez. E pra piorar, o desgraçado apagou
os logs
> todos.
>
> Alguém já passou por algo do tipo, com esses servers de counter
strike?
> Há algo padrão a se fazer?
> Estou completamente perdido, qualquer dica, ajuda, sei lá,
seria bem
> vindo.
>
> Grato a todos
>
> Daniel
>
>
>
>
>
>
>
>
>
> O Yahoo! está de cara nova. Venha conferir!
>
>
>
> Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador
agora!
>
>
>
>
>
>
>
> _______________________________________________________
> Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu
celular.
> Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/
--
keepTec - Consultoria de Sistemas Linux - +55 (11)95002638 - keeptec@gmail.com