[FUGSPBR] Invasao ...

Ricardo A. Reis n.i.b em terra.com.br
Seg Jul 1 22:27:09 BRT 2002


Tenta usar o HostSentry e o Tripwire for servers!!




www.psionic.com/abacus/hostsentry/

http://www.tripwire.com





> ---------- Mensagem original -----------
> 
> De      : fugspbr-admin em fugspbr.org
> Para    : fugspbr em fugspbr.org
> Cc      : 
> Data    : 01 Jul 2002 21:57:43 -0300
> Assunto : Re: [FUGSPBR] Invasao ...
> 
> > não li toda a descrição (vou lê-la depois de assistir a casa do
> > silvio, hehehee), mas IMHO tá na hora de você remover essa máquina de
> > serviço, substituindo por outra. Será necessária análise post-mortem
> > (mákina invadida é morta, e a sua quase que certamente foi). Procure
> > (google) pelo The Coroner's Toolkit (TCT) e comece a ficar preocupado.
> > Aliás, *muito* preocupado.
> 
> Este eh o maior problema pois praticamente todos os servicos (samba,
> arquivos, senhas, www, etc,  )estao nessa maquina e se eu a parar, para
> toda a rede dos laboratorios aqui da universidade, nem tanto pelos
> servicos mas pelos arquivos dos discos que nao possuo espaco suficiente
> em outro server pra migrar...
> > 
> > BTW, num primeiro momento, o checkrootkit que (acho) está no ports dá
> > um primeiro alerta.
> 
> Ja o rodei e nao encontrou nada...somente alguns servicos que deram como
> not tested....
> Pensei em reisntalar o free mas gostaria de pegar quem o fez, pois como
> disse tenho antcedentes de usuarios que atacaram nosso server mas dessa
> vez nao consegui comecar a identificar quem poderia ter sido o melhor
> seria para mim deixar assim por enquanto pois percebi que o mesmo ja
> acontece a alguns dias e ate agora nao aconteceu mais nada de estranho
> no server, todos os servicos estao ok, sei que eh muito arriscado e nao
> eh o melhor caminho mas sem saber o que e como o fez ficarei vulneravel
> novamente,irei fazer um backup de tudo hj, mas  acredito pegar indicios
> de quem e como este ataque foi feito qdo o cara acessar o arquivo pois
> acho que eh um user interno. para pegar o resultado, ja verifiquei se
> ele se auto enviava qdo de uma nova conexao ou se havia algo no crontab
> do root e isso nao acontece por isso de eu achar se tratar de um
> problema interno.
> 
> 
> ______________________________________________
> http://www2.fugspbr.org/mailman/listinfo/fugspbr
> 
> 

N.I.B > Ricardo e' um!

Viciado="Informatica"
Aluno="Cisco Network Academy" 
Usario="FreeBSD,BeOS,Linux"
Maniaco="Rock-Jazz-MPB"
Amante="das Mulheres"
Desempregado="isso e'o pior"

______________________________________________
http://www2.fugspbr.org/mailman/listinfo/fugspbr



Mais detalhes sobre a lista de discussão freebsd