Problema de segurança

chicosilva
(usa Ubuntu)

Enviado em 22/09/2011 - 18:50h

E pessoal!
O servidor onde tenho um site hospedado foi invadido. Estão usando o server para jogar cstrike.. já consegui encontrar o processos e dar um kill mais eles sempre voltam...

Como identificar a "raiz" de como esses processos são levantados e eliminá-los?

Obrigado

danniel-lara
(usa Fedora)

Enviado em 22/09/2011 - 18:54h

1º desconecta o cabo de força
2º clona o disco para ou HD
3º efetua uma analise forense no disco que você clonou

de uma olhada no site do VOL que tem várias ferramentas de analise forense

espero ter ajudado

chicosilva
(usa Ubuntu)

Enviado em 22/09/2011 - 19:02h

Obrigado pela resposta.
Meu servidor é um VPS linode.. é tenho somente acesso pelo terminal e ftp..
Eu queria eliminar esse processos de forma q não fossem mais levantados..

danniel-lara
(usa Fedora)

Enviado em 22/09/2011 - 19:04h

Troque a senha de todos os usuários TODOS

depois verifique os crons todo usuários pode pode esta agendado no cron


e dá um pente fino no servidor procure por diretórios no /tmp
/home geralmente eles são ocultos

qualquer coisa estamos ai

saitam
(usa Slackware)

Enviado em 22/09/2011 - 19:24h

verifique o arquivo de log do sistema
faça backup e no caso extremo reinstale o sistema fazendo hardening no servidor.

chicosilva
(usa Ubuntu)

Enviado em 22/09/2011 - 19:35h

Nos logs veja o encotrei:

reverse mapping checking getaddrinfo for 188-26-156-26.rdsnet.ro [188.26.156.26] failed - POSSIBLE BREAK-IN ATTEMPT!

E tb pam_unix(cron:session): session opened for user root by (uid=0) mais listando as tarefas do cron não consigo encontrar..

caracas.. o q posso fazer?

chicosilva
(usa Ubuntu)

Enviado em 23/09/2011 - 00:14h

Boa noite pessoas!
Consegui "desabilitar" o usuário q estava logando no meu sistema. Alguém pode me dar um dica de melhorar a segurança para que não volte a ter acessos?

tatubhz
(usa CentOS)

Enviado em 29/09/2011 - 00:09h

troque a senha e rode o rkhunter, pode ter rootkit nele.

Outra coisa é tentar deixar apenas as portas abertas que realmente precisam estar.

Espero ter ajudado

andrezc
(usa Debian)

Enviado em 29/09/2011 - 00:12h

Manter os clientes e serviços sempre atualizados é, sem dúvida alguma, o primeiro passo para se ter um servidor seguro.

vitorioluis
(usa Debian)

Enviado em 29/09/2011 - 09:40h

Mantenha seu servidor atualizado, monta uma politica de senha com troca periótica reveja politica de bloqueio padrão do firewall, analise os logs....