[FUGSPBR] Invasao ...

alvicler calvin em dq.ufscar.br
Qua Jul 3 21:16:31 BRT 2002


Nao consegui deixar de ler isto sem me divertir um cadinho...
;-)
Posso estar enganado, mas o seu problema e bem parecido com o meu e de
alguns carinhas que ja passaram por aqui nestas listas..
Primeiro vamos la, desinstale a libparanoia do seu BRAIN..
hehehe
Isto ja ajuda um montao ..
Muitas vezes por pura paranoia nos achamos que o servidor foi invadido etc..

Fica Frio !!!
Agora vamos la..


Jeferson Buchner - Sys_Admin gravada:

> Pessoal preciso da ajuda de voces com um problema de invasao sou melhor
> um snifer de senhas, observei que todas as senhas das conexoes ssh que
> realizo sao gravadas (login e senha) em um arquivo,

este arquivo por acaso esta em que diretorio..
vai la e da o famoso
pwd, as senhas estao legiveis mesmo?? ou sao sequencias de numeros e
letras..

> este arquivo possui
> id e proprietario de root e estava com permissoes rwx para todos os
> usuarios, bom modifiquei as permissoes para somente root mas continua
> armazenado as senhas, ou seja o programa esta rodando como root, mas o
> que acontece eh que nao consegui localiza-lo, como faco para monitorar
> este arquivo

se eu nao me engano e bem me lembro o find acha arquivos por data..
use man find

> e saber qual processo que o modifica e de quem o acessar
> pois preciso saber quem eh acredito ser um dos usuarios cadastrados no
> meu server? ja tentei alguns mas sem sucesso. Sera um problema no
> OpenSSh?

Eu penso que nao!! mas dar opiniao de longe e bem facil hehehe
tenta algo como ifconfig -a
veja se sua placa de rede esta em modo PROMISC ou seja esta escutando a
rede, vc tem arpwatch ou algo assim rodando ai, se sim desliga e veja de
novo..
Vc tem libcap ou libnet instaladas??
procure por programas que usam estas libs..
ldd binario_que_vc_ta_desconfiado

>
> O conteudo do arquivo do sniffer fica assim:
> user []
> user [senha]
> user2 []
> user2 [senha]
>

Poderia ser bem mais especifico..

>
> Outra coisa estranha que notei eh que toda vez que me logo localmente no
> server depois que digito o login aparece uma linha com a msg s/key 97
> de09623,

isto quem faz eh o keyinit (alguem usou isto por ai) senha criptografada
para acesso remoto..
man keyinit
97 se nao me engano eh o ano que foi gerada a chave
"de" deve ser as as duas primeiras letras do nome do seu server..
o numero eh o numero da chave gerada..


> e pede a senha normalmente, soh que se o log eh feito
> normalmente ele nao acrescenta nada naquele arquivo, ja fiz varios
> testes com programas, checando as conexoes de rede e verificando
> arquivos de inicializacao de script e servicos mas nao encontrei nada
> sera que alguem pode me dar uma mao?

use o lsof, chkrootkit, mas primeiro vamos ter certeza de que esta tudo ok.
quando vc da
ps -auxwww vc nota algum processo rodando que nao saiba o que eh, que nao
foi vc quem colocou no ar, procure por daemons primeiro.


>
>
> Desde ja agradeco
>
>

[]s
calvin
PS. Agradecimentos ao Klaus, Nelson e Pedro, pelas primeiras aulas sobre
esta paranoia.
Ps2. Infelizmente eu so li todas as mensagens sobre o assunto hoje, e tudo
de uma so vez, da um bom livro, com direito a diversao e tudo mais.


________________________________________________
Para sair da lista visite o URL abaixo:
http://www2.fugspbr.org/mailman/listinfo/fugspbr



Mais detalhes sobre a lista de discussão freebsd