Regras OUTPUT (Era: Fui invadido - não sei o que mais fazer...)
Olá a todos.
Bom, resumindo a história pra quem acompanhou... fiz uma vasculhada no micro
antes de formatar pra ver se achava a causa da invasão. De fato, acredito
que tudo começou mesmo no mambo.
O cara que invadiu apagou os logs, então estou trabalhando só com hipóteses,
mas o que estava me deixando intrigado era como ele conseguiu entrar na
máquina com minha senha de root sendo que apenas o ssh tem a porta aberta
para conexão e, nesse, eu tinha tirado o acesso via root. Por fim descobr: o
cara deixou registrado no bash_history os comandos. Vi que, em primeiro
lugar, ele baixou um sshd_conf com o wget de um site e substituiu pelo meu.
Nesse sshd, ele abre o acesso para o root novamente.. logo depois, ele muda
o meu firewall e abre para que a porta do ssh seja aberta pra qualquer ip
(eu bloqueava para acesso somente ao meu).. logo em seguida, ele muda a
permissão do passwd (isso eu não entendi pra que) e cria um novo usuário
para acessar o sistema.. Ele deixou pra trás também um arquivo com o nome
Grupos com três linhas em java script redirecionando pra um site da net..
ainda vou verificar o que são esses sites...
Agora mais dúvidas.. :-).. nunca tinha me atentado há uma dica dada em uma
das respostas: o meu OUTPUT de fato está aberto.. pensei que se me
preocupase com a entrada de pacotes, a saída era indiferente, mas não sabia
que podia se fazer uma conexão reversa.. agora preciso montar novas regras
para o OUTPUT da máquina e preciso da ajuda de vocês...
A dúvida é a seguinte: se abro, por exemplo, a porta 80 no INPUT, eu sei que
a resposta pode sair pelas portas acima da 1024 do OUTPUT certo? OU seja, as
portas de entrada não necessariamente batem com as portas de saída.. como,
então, eu vou saber quais as portas eu posso deixar abertas no OUTPUT sem
que a máquina seja comprometida?
Por enquanto é isso...
Grato a todos que já ajudaram e a todos que hão de ajudar.. :-)
Um abraço,
Daniel
Reply to: