Segurança LINUX CENTOS urgente

dfelipenm
(usa CentOS)

Enviado em 25/03/2011 - 11:35h

Pessoal, bom dia tudo bom? estou com um problema, anteriormente notei que numa das empresas da qual eu cuido de TI, onde estavam meus scripts de backup, sumiu tudo, tenho quase certeza que estou sendo vítima de um ataque, de um ex-funcionário de TI aqui.
Preciso tomar umas medidas aqui antes que ele apague tudo rsrsrs acredito que a estratégia é apagar os backups e depois apagar os arquivos principais... Resumindo, preciso de ajuda.
Primeiro, temos 2 servidores LINUX, um na matriz e outra na filial, preciso listar todos os usuários e apagar os usuarios que não são padrões do sistema, porque ja mudei a senha de root mas não resolveu, ou seja, preciso saber quais usuarios apagar pra não fazer caca.
Segundo, preciso saber se alem de PUTTY, tem alguma outra forma de acessar o servidor externamente, se tiver, preciso fechar essa porta...
Terceiro, preciso saber se existe alguma auditoria de todos os usuarios do linux, pois preciso saber se consigo provar quem está fazendo essa palhaçada, conto com a ajuda de vocês pra sair dessa! Abraço a todos!

OBS: linux Centos e linux ubuntu server 10


Muito Obrigado.

j4p0n3g0
(usa Debian)

Enviado em 25/03/2011 - 12:33h

os usuarios criados tem a necessidade de acessar o servidor via ssh ?

caso não tenham essa necessidade vc poderia retirar o compo /bin/bash deles no arquivo passwd e colocar /bin/false.

retirar o acesso direto do root via ssh no arquivo sshd_config (permitrootlogin no)

existe o comando last para vc ver quais foram os ultimos login.

cara tem muitas formas de vc bloquear esse tipo de acesso, essa são apenas algumas delas...

Räfael
(usa Ubuntu)

Enviado em 25/03/2011 - 12:47h

O amigo ai em cima está certo, os usuários ficam listados no arquivo /etc/passwd, se quer deletar um usuário tente:

# deluser nomedousuário

Faz um scan com o chkrootkit e posta o resultado aqui para nós, se desconfia de um usuário use:

$ lastlog -u nomedousuário

Ou mesmo:

$ lastlog

Se é um ex-funcionário, talvez o ataque venha de fora, você usa alguma IDS e/ou Firewall?

Outra dica é fazer um scan com o Nmap usando seu computador no IP externo da rede.
Como:
nmap -T4 -A -v -PE -PS22,25,80 -PA21,23,80,3389 IPEXTERNOAQUI

dfelipenm
(usa CentOS)

Enviado em 25/03/2011 - 16:21h

Então pessoal, o que eu fiz agora de imediato, antes de voces responderem foi mudar a senha de TODOS OS USUARIOS CADASTRADOS, assim impossibilita o acesso onde quer que seja. Os scripts que foram apagados eu consegui refazer graças a Deus e agora vo tentar esses comandos ae que voces me passaram, mais tarde ja passo pra voces o que deu aqui, Muito Obrigado pela atenção.

Räfael
(usa Ubuntu)

Enviado em 25/03/2011 - 16:32h

Dica: Escolha uma boa senha, é requisito ter mais de 8 caracteres, e deve ser impossível de ser adivinhada como por exemplo $d0L&%dL3kN.