[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Fui invadido - não sei o que mais fazer...

Caro Daniel.

PS: Como eu uso o FC, talvez esses arquivos estejam em outros diretorios.

1- Crie particoes no seu sistema (HD) ja de olho na seguranca, eu normalmente crio 7 particoes:

/boot
/
/tmp
/usr
/var
/home
/swap

Das quais 3 (Tem um arquivo muito bom no www.vivaolinux.com.br que fala a respeito agora nao me lembro de cabeca quais sao)devem ter em /etc/fstab setados noexec, nodev), isso impedira que o invasor instale e/ou execute arquivos de forma remota;

2- Nunca deixar o usuario root ativo em uma maquina, deve-se criar um usuario com poder de administrador *veja que esse usuario apesar de ter esses poderes nao tera todos os poderes de root", se voce precisar efetuar qualquer coisa como root, ative o root faca oque precisar e mate o root novamente;

2- Nao permita ao root se logar na sua maquina editando o arquivo /etc/securetty e comente todas as linhas.;

3- Permita no maximo 2 ou 3 usuarios logarem nessa maquina ao mesmo tempo, editando o arquivo /etc/inittab;

4- Nao permita que ninguem remotamente desligue seu equipamento com as teclas crtl+alt+del (se nao me engano em /etc/initab tambem). Edite e alte a linha:

ca::ctrlaltdel: /sbin/shutdown -t3 -r now para

ca::ctrlaltdel: echo "Sinto muito isso aqui nao e o WINDOWS meu bom rapaz", por exemplo :);

5- Nao permita que mais de um usuario acesse a maquino ao mesmo tempo para limitar edite o arquivo /etc/securitty/limits.conf e adicione no final a seguinte linha:

@mail   hard   maxlogins1

6- Como voce usa o ssh, permita somente os IPs que voce queira acessar a maquina remotamente adicione a seguinte linha ao seu Iptables:

iptables -A INPUT -p tcp -s "IP permitido se logar" --desination-port 22 -j ACCEPT

obs: Caso ainda nao esteja satisfeito edite o arquivos /etc/hostdeny, e diga quais os IPs que podem acessar remotamente essa maquina.

7-Impessa o root de se logar visa SSH editando o arquivo /etc/sshd/sshd_config e altere a opcao da linha PermitRootLogin de "yes" para "no" vai ficar:

PermitRootLogin no;

8- Instale e configure o Tripwire para que ele te avise na mesma hora via mail ou pager (mande o e-mail pro seu celular sei la) caso algum arquivo da maquina seja alterado (arquivo alterado fora de hora que nao seja voce e muito pra la de suspeito ne, voce pega o intruso na hora da invasao);

9- Corra atras do intruso. pegue seu IP denuncie ao provedor de origem do ataque, consulte o servico whois ou acesse a base de dados da internic, fapesp atraves do endereco http://registro.br (eu ouvi dizer que caso o ataque seja efetuado a partir de zumbies existe um aplicativo que faz um trace de todo o percurso utilizado pelo atacante, se alguem aqui souber o nome do aplicativo eu nao conheco) Enfim faca de tudo para identifica-lo.

Existem mais coisas que podem serem configuradas na sua maquina, estude, estude e estude, todos os dias aparecem coisas novas e se nao estivermos bem alicercados desde o funcionamento de transferencia dos pacotes TCP/IP, topologias de rede, etc, etc e etc, fica dificil, pois os atacantes com certeza os bons pelo menos tem grande conhecimento, e se essa pessoa nao danificou nada em sua maquina, ele apenas estava a fim se divertir um pouco a suas custas, e lhe deu uma grande oportunidade de voce aumentar seu conhecimento e melhorar sua qualidade tecnica. Boa sorte.

PS. Eu nao sei como tratar um ataque reverso (que deveriam ser tratados com a regra OUTPUT se alguem puder dizer algo a respeito ou indicar uma literatura eu agradeceria imensamente.

E por ultimo nao sou especialista (vou ser provavelmente no final do proximo ano) e caso tenha escrito alguma besteira, por favor, gostaria de ser corrigido e, se alguem quiser complementar o que eu descrevi, seria um prazer receber as informacoes.

Espero ter ajudado em algo. Boa sorte

Anacleto


Daniel <da_picon@yahoo.com.br> escreveu:
Galera, me defrontei com um baita problema nessa volta de feriado...
Ontem, verificando meu servidor de web, vi que tinha um usuário novo no bash.. aí fui ver os logs.. apagados.. resumindo: máquina invadida.
Meu ip foi bloqueado pelo nosso centro de informática e eu recebi um e-mail deles onde eles me enviaram um chat entre duas pessoas onde uma delas informa a outra que tinham conseguido invadir minha máquina. Não sei de onde o centro conseguiu essa conversa, mas acho que ficou registrado no log deles lá de alguma forma. O cara tinha meu ip e a senha de root da minha máquina...
Nessa máquina eu tenho o ssh instalado numa porta alternativa e bloqueado acesso pelo root...  no firewall estão abertas apenas a porta 80, a porta do ssh, e a do ftp.. apenas isso.. todo o resto fechado no iptables.. Tenho instalado na máquina o apache2, o mambo, o mysql 4.1 e o php 4.4.3... tinha também o snort, e um dos caras disse que ia utiliza-lo pra estudar a máquina.. eu tinha instalado e configurado também o mod_security do apache, usei pra configurar ele um tutorial do vivaolinux eu acho.. Isso tudo estou dizendo pra mostrar como tentei o máximo me preocupar com a segurança, mas mesmo assim, me dei mal...
 
Bom, resumindo, pelo que dá pra entender da conversa, um dos caras disse que está ?ownando? tudo que tenha mambo, no caso essa máquina tinha...
 
Perguntas:
 
1)       o que pode significar ownando?
2)       Como se pode extrair do mambo a senha de root do sistema se não tem ligação uma coisa com a outra?
3)       Por onde o cara pode ter entrado, sendo que, mesmo que ele tenha a senha de root, no sshd_conf eu tirei a opção de se poder logar com o root?
4)       Quais medidas que eu posso tomar para evitar esse tipo de problema?
5)       Como detectar antes esse tipo de invasão...
 
É isso galera, espero que alguém possa me dar algumas luzes porque tenho mais servidores na mesma rede e tenho medo que o cara consiga invadir os outros também...
 
Obrigado e um abraço a todos
 
Daniel
 
 
 

__________________________________________________
Fale com seus amigos de graça com o novo Yahoo! Messenger
http://br.messenger.yahoo.com/

Reply to: