Re: Fui invadido - não sei o que mais fazer...

["Renato S. Yamane" <renatoyamane@mandic.com.br>]

Daniel escreveu:
> Ontem, verificando meu servidor de web, vi que tinha um usuário novo no 
> bash.. aí fui ver os logs.. apagados.. resumindo: máquina invadida.

Formate a máquina. Nada que existe nela está confiável nesse momento.

> Nessa máquina eu tenho o ssh instalado numa porta alternativa e 
> bloqueado acesso pelo root...  no firewall estão abertas apenas a porta 
> 80, a porta do ssh, e a do ftp.. apenas isso.. todo o resto fechado no 
> iptables.. Tenho instalado na máquina o apache2, o mambo, o mysql 4.1 e 
> o php 4.4.3... tinha também o snort

Não há nenhum mambo nos repositórios do Debian Etch.
- Você instalou a partir dos código fontes?
- Caso afirmativo, você anda atualizando ele com os patchs de segurança?

> ...Isso tudo estou dizendo pra mostrar como tentei o 
> máximo me preocupar com a segurança, mas mesmo assim, me dei mal...

Se o aplicativo possui um bug, então de nada adianta esses procedimentos.
Sempre mantenha atualizado os softwares que você instala a partir dos 
código fontes, e lembre-se de rodar o aptitude update/upgrade diariamente.

> 1) o que pode significar ownando?

Existe também o "printando" :-)
Owner = proprietário.

> 2) Como se pode extrair do mambo a senha de root do sistema se 
> não tem ligação uma coisa com a outra?

Talvez esse mambo tenha um grave bug de segurança.
Você já olhou a versão que você possui e qual é a versão atual? 
Verificou os changelogs? Verificou os bugs abertos?

Att,
Renato