[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Invasão... Cstrike




Opa! Fiquei curioso, não opiniei até agora por desconhecer alguma forma de auxiliar, mas, pq o uso do PHP no WEBServer(Apache) pode permitir isto? O quê deveria ser travado?

Wagner Eduardo Bidin
Credicard Banco S/A
VP Controles Internos
WPQA
55 11 3047.9089
wpqa@credicard.com.br



Vinicius Andrade Marino <vinicius777@gmail.com>

13/11/2006 13:47

To
debian-user-portuguese@lists.debian.org
cc
Subject
Re: Invasão... Cstrike





Pelo o que pude notar o invasor conseguiu acesso por web !
apenas me diga isso...
Qual aplicação roda no web-server ?(aposto que seria um php!)
Qual versão do kernel está rodando atualmente ?
E se caso lhe interesse passar as dores de cabeça faça assim:
procure o log de acesso do apache e filtre o conteudo assim.
cat access_log |grep cmd= |less
logo descubrirá  o conteudo e tente executar você mesmo !



Em Segunda 13 Novembro 2006 14:39, Paulo de Souza Lima escreveu:
> É bão tb. :-)
>
> Paulo de Souza Lima
> Curitiba/PR
> Linux User 432358
>
> ----- Mensagem original ----
> De: Anacleto Pavão <anacletopavao@yahoo.com.br>
> Para: Paulo de Souza Lima <paulocwb2003@yahoo.com.br>; Lista Debian
> <debian-user-portuguese@lists.debian.org> Enviadas: Segunda-feira, 13 de
> Novembro de 2006 11:29:20
> Assunto: Re: Invasão... Cstrike
>
> Nao seria interessante instalar e configurar o SNORT?
>
> Paulo de Souza Lima <paulocwb2003@yahoo.com.br> escreveu:        A maioria
> das invasões são facilitadas por pessoas ou equipamentos dentro da empresa.
>
> Sugiro que você verifique se há algum desktop infectado, pois ele pode
> estar monitorando a rede de alguma outra máquina. Outra boa idéia é fazer a
> varredura pesada das portas de fora para dentro e de dentro para fora com o
> nmap (de fora pra dentro você vai ter de pedir para alguém fazer). Também é
> uma boa idéia copiar os logs para outra máquina. Outra coisa: vc tem
> certeza de que sua rede não tem backdoors (como acessos adsl ou discados
> que não passem pelo firewall, ou ainda, mais de um IP externo no firewall)?
>
> Me esclarece uma coisa: Ele instalou esse servidor de Counter Strike no
> firewall ou num servidor interno à rede?
>
> Abraços,
>
> Paulo de Souza Lima
> Curitiba/PR
> Linux User 432358
>
>   ----- Mensagem original ----
> De: Daniel <da_picon@yahoo.com.br>
> Para: Lista Debian <debian-user-portuguese@lists.debian.org>
> Enviadas: Segunda-feira, 13 de Novembro de 2006 9:38:19
> Assunto: Invasão... Cstrike
>
>   <!--     /* Style Definitions */   p.MsoNormal, li.MsoNormal, > div.MsoNormal   > {margin:0cm;margin-bottom:.0001pt;font-size:12.0pt;font-family:"Times New > Roman";}a:link, span.MsoHyperlink   > {color:blue;text-decoration:underline;}a:visited, span.MsoHyperlinkFollowed >   {color:purple;text-decoration:underline;} span.EstiloDeEmail17   > {font-family:Arial;color:windowtext;}_filtered {margin:70.85pt 3.0cm > 70.85pt 3.0cm;}div.Section1   {}-->      Olá pessoal.
>
>   Estou com um problema sério em minha rede.
>   Semana passada estava dando uma olhada nos logs como de costume e vi que
> o log de saída estava enorme (2 Gb). Fui investigar e vi que alguém invadiu
> o meu server e criou um servidor de jogo Counter Strike nele. O Engraçado é
> que as únicas portas abertas de entrada são a 80 e uma de ssh alternativa.
>
>   Bom, tentei vasculhar como  o cara entrou, mas não encontrei nada.
> Resolvi refazer o servidor todo. (2 dias de trabalho). Bom, voltei do final
> de semana e lá estava tudo de novo. Não consigo entender como o cara
> entrou, formatei a máquina, mudei as senhas, tem apenas as duas portas
> abertas, mas ta tudo lá. O Login e root está desabilitado para ssh...
> enfim, não sei o que o cara fez. E pra piorar, o desgraçado apagou os logs
> todos.
>
>   Alguém já passou por algo do tipo, com esses servers de counter strike?
> Há algo padrão a se fazer?
>   Estou completamente perdido, qualquer dica, ajuda, sei lá, seria bem
> vindo.
>
>   Grato a todos
>
>   Daniel
>
>
>
>
>
>
>
>
>
>     O Yahoo! está de cara nova. Venha conferir!
>
>
>
> Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora!
>
>
>
>
>
>
>
> _______________________________________________________
> Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular.
> Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/

--
keepTec - Consultoria de Sistemas Linux - +55 (11)95002638 - keeptec@gmail.com



Reply to: