[FUGSPBR] Hackeado...
Luiz Godoy
godoy em cdcc.sc.usp.br
Ter Out 30 08:55:21 BRST 2001
Pelos logs que voce mandou nao da para dizer muita coisa
tente o seguinte:
1 - Veja as datas de criacao das paginas modificadas para
saber quando realmente ocorreu a invasao
2 - Use o comando last para ver os logins ocorridos nesse
periodo, veja os arquivos .history de todos os usuarios
que o last mostrar incluindo o root
3- use o comando ls -lat nos diretorios / /root /etc
/sbin /usr/sbin para ver se existe arquivos modificados nesta data e
verifique esses arquivos
4 - Se o hacker entrou uma vez ele deve voltar, é possivel que
ele tenha instalado um backdoor no seu computador
instale e rode o chkrootkit (/usr/ports/security)
acho que isso da para comecar
Godoy
Paulo Quartieri wrote:
>
> Pessoal: Neste domingo, 29 nosso site foi hackeado. O sujeito trocou o
> diretório da página, de '/usr/local/www/html´ para /usr/home/httpd/html´ e
> alterou a senha do usuário qb. (Freebsd 4.3)
>
> Pergunta: Olhando esta parte do messages, dá para dizer como? Aparentemente
> ele descobriu a senha (como?) do usuário qb e depois deu um su para o toor.
>
> O que devo ´fechar´ para evitar este tipo de invasão?
>
> Desde já, agradeço.
>
> Paulo Quartieri
>
> Oct 26 17:50:02 gw squid[303]: sslReadServer: FD 16: read failure: (54)
> Connection reset by peer
> Oct 27 14:18:53 gw ftpd[48284]: FTP LOGIN FAILED FROM
> AVelizy-101-1-5-142.abo.wanadoo.fr, anonymous em ftp.mi
> Oct 28 08:58:28 gw popper[50161]: Unable to obtain socket and address of
> client: Socket is not connected
> Oct 28 08:58:42 gw postfix/smtpd[50162]: fatal: accept connection: Software
> caused connection abort
> Oct 28 08:58:56 gw ftpd[50165]: getpeername (ftpd): Socket is not connected
> Oct 28 08:59:48 gw popper[50168]: (v2.53) Unable to get canonical name of
> client 66.21.117.5: Unknown host
> Oct 28 17:09:02 gw su: qb to toor on /dev/ttyp2
>
> ----
> Para sair da lista envie um e-mail para majordomo em fugspbr.org
> com as palavras "unsubscribe fugspbr" no corpo da mensagem.
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
Mais detalhes sobre a lista de discussão freebsd