Galera, me defrontei Ontem, verificando meu servidor de web, vi que tinha um usuário
novo no bash.. aí fui ver os logs.. apagados.. resumindo: máquina invadida. Meu ip foi bloqueado pelo nosso centro de informática e eu
recebi um e-mail deles onde eles me enviaram um chat entre duas pessoas onde
uma delas informa a outra que tinham conseguido invadir minha máquina. Não sei
de onde o centro conseguiu essa conversa, mas acho que ficou registrado no log
deles lá de alguma forma. O cara tinha meu ip e a senha de root da minha máquina...
Nessa máquina eu tenho o ssh instalado numa porta
alternativa e bloqueado acesso pelo root... no firewall estão abertas apenas a
porta Bom, resumindo, pelo que dá pra entender da conversa, um dos
caras disse que está “ownando” tudo que tenha mambo, no caso essa máquina
tinha... Perguntas: 1) o que pode
significar ownando? 2) Como se pode
extrair do mambo a senha de root do sistema se não tem ligação uma coisa com a
outra? 3) Por onde o
cara pode ter entrado, sendo que, mesmo que ele tenha a senha de root, no
sshd_conf eu tirei a opção de se poder logar com o root? 4) Quais
medidas que eu posso tomar para evitar esse tipo de problema? 5) Como detectar
antes esse tipo de invasão... É isso galera, espero que alguém possa me dar algumas luzes
porque tenho mais servidores na mesma rede e tenho medo que o cara consiga
invadir os outros também... Obrigado e um abraço a todos Daniel |