Galera, me defrontei com um baita problema nessa volta de feriado...
Ontem, verificando meu servidor de web, vi que tinha um usuário novo no
bash.. aí fui ver os logs.. apagados.. resumindo: máquina invadida.
Meu ip foi bloqueado pelo nosso centro de informática e eu recebi um
e-mail deles onde eles me enviaram um chat entre duas pessoas onde uma
delas informa a outra que tinham conseguido invadir minha máquina. Não
sei de onde o centro conseguiu essa conversa, mas acho que ficou
registrado no log deles lá de alguma forma. O cara tinha meu ip e a
senha de root da minha máquina...
Nessa máquina eu tenho o ssh instalado numa porta alternativa e
bloqueado acesso pelo root... no firewall estão abertas apenas a porta
80, a porta do ssh, e a do ftp.. apenas isso.. todo o resto fechado no
iptables.. Tenho instalado na máquina o apache2, o mambo, o mysql 4.1 e
o php 4.4.3... tinha também o snort, e um dos caras disse que ia
utiliza-lo pra estudar a máquina.. eu tinha instalado e configurado
também o mod_security do apache, usei pra configurar ele um tutorial do
vivaolinux eu acho.. Isso tudo estou dizendo pra mostrar como tentei o
máximo me preocupar com a segurança, mas mesmo assim, me dei mal...
Bom, resumindo, pelo que dá pra entender da conversa, um dos caras disse
que está “ownando” tudo que tenha mambo, no caso essa máquina tinha...
Perguntas:
1) o que pode significar ownando?
2) Como se pode extrair do mambo a senha de root do sistema se não
tem ligação uma coisa com a outra?
3) Por onde o cara pode ter entrado, sendo que, mesmo que ele
tenha a senha de root, no sshd_conf eu tirei a opção de se poder logar
com o root?
4) Quais medidas que eu posso tomar para evitar esse tipo de problema?
5) Como detectar antes esse tipo de invasão...
É isso galera, espero que alguém possa me dar algumas luzes porque tenho
mais servidores na mesma rede e tenho medo que o cara consiga invadir os
outros também...
Obrigado e um abraço a todos
Daniel