[FUG-BR] Log de Shutdown

Quinta Outubro 19 11:32:21 BRST 2006

Ele tem acesso à internet por nat. Uso apenas para eu mesmo me conectar a 
ele, e para que ele faça o backup num ftp. Mas nada mais.

Só tem duas portas no nat que são roteadas para o servidor do banco, a 
própria porta do banco (que foi altarada do padrão) e a porta ssh. O resto 
está blokeado pelo nat. Acho difícil ser um invasor.

Quanto às atualizações, ele foi instalado faz uns 3 meses, com a instalação 
estável mais atual de tres meses atrás. Depois disso nenhuma atualização, 
pois faz pouco tempo.

Tem nobreak e bateria para 5 horas sem energia. Quanto à esquentar, até 
poderia ser, mas não estaria no log dizendo que foi dado shutdown.

Tem como eu saber que usuário deu o shutdown e em que horário? Ou se foi uma 
aplicação que deu o shutdown? Ou quais os usuários que estavam conectados 
antes de desligar?

----- Original Message ----- 
From: "Rodolfo Zappa" <rodolfo em archive.com.br>
To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" 
<freebsd em fug.com.br>
Sent: Thursday, October 19, 2006 10:00 AM
Subject: Re: [FUG-BR] Log de Shutdown

Nelson Pereira Júnior escreveu:
> Achei as mensagens no messages.0.bz2
>
>
>
> Vejam: As 18:48:22 foi mandado desligar. Mas ninguém fez isso. O único que
> tem acesso ao servidor sou eu mesmo. Eles nem sabem o que é FreeBSD, só
> mexem no Sistema. Acredito que o FreeBSD tenha se reiniciado sozinho. 
> Alguém
> sabe o que pode ter acontecido? Isso acontece vez por outra, não foi 
> apenas
> essa vez.
>
>
>
> ---------LOG---------
>
>
>
> Oct 16 18:48:22 lex rc.shutdown: 30 second watchdog timeout expired.
> Shutdown terminated.
>
>
> Oct 16 18:48:22 lex postgres[50145]: [1-1] FATAL:  terminating connection
> due to administrator command
>
>
> Oct 16 18:48:22 lex init: /bin/sh on /etc/rc.shutdown terminated 
> abnormally,
> going to single user mode
>
>
> Oct 16 18:48:22 lex syslogd: exiting on signal 15
>
>
> Oct 16 18:59:46 lex syslogd: kernel boot file is /boot/kernel/kernel
>
>

Este servidor tem acesso direto à Internet? Ele publica algum serviço em
ip válido, ou através de nat? Ele está atualizado (source e ports)?

Se você respondeu sim às 2 primeiras e não à última, você pode estar com
a sua máquina comprometida por um invasor.

Aí, o melhor a fazer é separar os discos desta máquina para análise
forense (ser for possível ou do interesse de descobrir o fdp), e
reinstalar a máquina do zero, restaurando apenas os backups de dados.

Execute o portaudit pra ver se tem algum software com vulnerabilidade
conhecida instalado (portaudit -Fad).

Boa sorte!

-- 
Cordialmente,

Rodolfo Zappa

Archive TSP - Total Solution Provider
Nosso negócio é garantir que a sua rede de informações não pare!

(21) 2567-1842
comercial em archive.com.br
http://www.archive.com.br

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 