ddos

darkfull
(usa Slackware)

Enviado em 31/07/2008 - 19:53h

mais como isso veio parar aki???
meio de falhas?
mais passo o nessus 2 vzs ao dia..

darkfull
(usa Slackware)

Enviado em 31/07/2008 - 20:11h

Uollll realmente era um ataque....
estava usando meu computador para atacar outros,,,,,
meu deus....
vlw galera...

kalib
(usa Arch Linux)

Enviado em 31/07/2008 - 21:11h

Como eu havia dito antes...é um ataque distribuido...
Pensei que não era em um servidor.. huahuah
Seguinte... a forma como isso pode ter acontecido pode ser qualquer uma...
Dependendo dos serviços que você rode aí..pode ter sido através de um simples acesso remoto via ssh com alguma senha insegura...e podem ter utilizado algum rootkit para conseguir acesso root por exemplo...enfim..telnet..etc..formas existem várias...
Eu checaria também as permissões dos diretórios aí...para ver se algo foi modificado...ou mesmo o history...apesar de que raramente esquecem de limpar o history..a não ser que seja algum pirralho brincando de fazer besteira...
Mas dá uma checada nessas coisas. ;]

darkfull
(usa Slackware)

Enviado em 31/07/2008 - 21:16h

Sim á algum tempo atras o ssh estava vulneravel..
descobri com o nessus. mais em fim passei por cima arrumando o sistema
+ esqueci de troca algumas senhas...
2 semanas atras criei um servidor web. apenas para testar um sistema...
oloko..
heheheh
engraçado que...
nao tinha trafego nem um alerado no sistema...
e o ataque dos ultiliza muito trafego deixando o pc lento...
vlw.

kalib
(usa Arch Linux)

Enviado em 31/07/2008 - 21:24h

Não necessariamente...o ataque pode utilizar pouco tráfego também..principalmente pq não se sabe que horas a coisa aconteceria neh!?
O serviço poderia ficar aí parado...sem nada acontecer..e rodar apenas de madrugada por exemplo..quando a máquina não estivesse em "uso".de qualquer forma, sua máquina não deve ser a última...
Eu no seu lugar interromperia os acessos remotos temporariamente..enquanto põe ordem na casa. Para o serviço de ssh...e outro qualquer que você tenha que permita acesso remoto..claro..se for possível o fazer.

darkfull
(usa Slackware)

Enviado em 31/07/2008 - 21:28h

Meu pc nao te acesso remoto
111/tcp open rpcbind
904/tcp open unknown
1241/tcp open nessus
ta normal..
estou usando o snort. para gravar logs de tentativas de invasao e trafegos..
wiresshark tenho um monitor só para ele..
isso tá um misterio...
mais de qualquer forma vlw...
se ficar sabendo de algo ai me avise.
ok...
abrass

kalib
(usa Arch Linux)

Enviado em 31/07/2008 - 21:39h

E esta porta 904?? Para o que ela está funcionando?
Você usa ela para que?
Ou melhor...foi você quem deixou ela aberta? o.O
Lembre-se...alguém que tenta fazer um ataque de DDOS, muitas vezes pode procurar abrir uma "porta dos fundos" para ele...Pois ele sabe que ao ser descoberto..a primeira coisa que o administrador vai tentar fazer é fechar o ssh. ;]

É bom pensar em todas as possibilidades.

abraço

robsonpc
(usa Debian)

Enviado em 31/07/2008 - 21:41h

caraca, que f*! Tranque o acesso da net e leia os logs para descobrir por onde o fiu da p* entrou.....atualizar os pacotes tb é uma boa...
Boa sorte..

darkfull
(usa Slackware)

Enviado em 31/07/2008 - 21:41h

Realmente...
nao conheco essa porta
achei que era padrao do linux

darkfull
(usa Slackware)

Enviado em 31/07/2008 - 21:43h

Cra li todos os logs do snort.
e nada d+
e ainda continua executando o ddos.sh no msm dietorio...
mais como eu dei um rm* tudo
nao tem mais nda...

kalib
(usa Arch Linux)

Enviado em 31/07/2008 - 21:49h

Continua executando? Mesmo vc tendo removido ele? o.O
Tem certeza que removeu mesmo?

tenta aí:

find / -iname '*ddos*'

Vê se não existe nada...
E confere no teu cron também... pode estar agendado lá.

darkfull
(usa Slackware)

Enviado em 31/07/2008 - 21:53h

olha melhor mostrar oque esta havendo
olhe ai fiz um upload de um screen
http://img150.imageshack.us/my.php?image=hakxa6.png


olhe os logs