[FUG-BR] Dúvida sobre o /var/log/messages

[irado furioso com tudo]

Em Thu, 8 Feb 2007 17:10:07 -0200
"Marcelo/Porks" <marcelorossi em gmail.com> escreveu:

> Digo, teve uma atividade registrada no dia 5 e a próxima
> apenas no dia 8 (e com mensagem dizendo que o sistema estava
> bootando). Isso é normal?

não. Nem um pouco.


> Minha preocupação seria de alguém que possa ter ganhado acesso ao
> sistema, feito algo e depois apagado as informações do
> /var/log/messages
> 
> Isso é possível? Ou eu estou viajando?

sim, é possível. Inclusive, nêste caso em particular eu temeria MUITO
estar "owned".

Sugestões FORTES:

remova êsse servidor da produção, para uma análise mais acurada

No colocar o outro, vc tem que entender que, se for igual, a
vulnerabilidade AINDA EXISTE. Vá até a área de segurança do FreeBSD e
leia qualquer boletim recente (ou não) que vc possa ter perdido, a
respeito de qualquer problema de segurança da sua versão de FreeBSD

E, se a sua versão não for a mais atual, INSTALE um de versão mais
recente. Troque o firewall - se é ipfw, mude pra PF, por exemplo. Ou
rearranje regras.

Depois é quase simples: algumas semanas de análises forenses (risos).
Comece com o rootkit; afinal, vc tem que começar com alguma coisa.

Seria (eventualmente) adequado vc colocar um sniffer (wireshark) pra
analisar o que é que está vindo (ou saindo) pelo seu link.

E, no novo servidor.. bem.. vc terá que pensar MAIS em segurança.. IDS,
HIDS.. essas coisas.

divirta-se.. 






-- 
flames > /dev/null

saudações,
irado furioso com tudo
Linux User 179402/FreeBSD BSD50853/FUG-BR 154
Não uso drogas - 100% Miko$hit-free
ou locupletamo-nos todos ou instaure-se a moralidade (barão de itararé)