Galera, me defrontei com um baita problema nessa volta de feriado...
Ontem, verificando meu servidor de web, vi que tinha um usuário novo
no bash.. aí fui ver os logs.. apagados.. resumindo: máquina invadida.
Meu ip foi bloqueado pelo nosso centro de informática e eu recebi um
e-mail deles onde eles me enviaram um chat entre duas pessoas onde uma
delas informa a outra que tinham conseguido invadir minha máquina. Não
sei de onde o centro conseguiu essa conversa, mas acho que ficou
registrado no log deles lá de alguma forma. O cara tinha meu ip e a
senha de root da minha máquina...
Nessa máquina eu tenho o ssh instalado numa porta alternativa e
bloqueado acesso pelo root... no firewall estão abertas apenas a porta
80, a porta do ssh, e a do ftp.. apenas isso.. todo o resto fechado no
iptables.. Tenho instalado na máquina o apache2, o mambo, o mysql 4.1
e o php 4.4.3... tinha também o snort, e um dos caras disse que ia
utiliza-lo pra estudar a máquina.. eu tinha instalado e configurado
também o mod_security do apache, usei pra configurar ele um tutorial
do vivaolinux eu acho.. Isso tudo estou dizendo pra mostrar como
tentei o máximo me preocupar com a segurança, mas mesmo assim, me dei
mal...
Bom, resumindo, pelo que dá pra entender da conversa, um dos caras
disse que está “ownando” tudo que tenha mambo, no caso essa máquina
tinha...
Perguntas:
1) o que pode significar ownando?
2) Como se pode extrair do mambo a senha de root do sistema se não tem
ligação uma coisa com a outra?
3) Por onde o cara pode ter entrado, sendo que, mesmo que ele tenha a
senha de root, no sshd_conf eu tirei a opção de se poder logar com o root?
4) Quais medidas que eu posso tomar para evitar esse tipo de problema?
5) Como detectar antes esse tipo de invasão...
É isso galera, espero que alguém possa me dar algumas luzes porque
tenho mais servidores na mesma rede e tenho medo que o cara consiga
invadir os outros também...
Obrigado e um abraço a todos
Daniel