Visite também:
Br-Linux ·
VivaOLinux ·
LinuxSecurity ·
Dicas-L ·
NoticiasLinux ·
SoftwareLivre.org ·
[mais]
|
|
||||||
| Fóruns | Wiki | Classificados | Reviews | Jogos | Grupos Sociais | RSS Feeds | FAQ | Termos de Uso | Contato | Sobre |
| Registrar | Fotos | Blogs | Calendário | Marcar Fóruns Como Lidos |
Fui invadido o que fazer?
 |
|
|
LinkBack | Ferramentas do Tópico |
28-01-2008, 21:38
|
#1 (permalink) |
 
Registrado em: Aug 2003
Posts: 249
Agradeceu: 63
Agradecido 10 vez(es) em 7 Posts
Reputação: 90   |
Fui invadido o que fazer?
Olá pessoal,
Uma maquina de um cliente meu foi invadida esta com uns comportamentos estanhos, queria saber como posso fazer um levantamento e corrigir os danos causados. Atraves de ps obtive informações de 2 processos indevidos. estoque 2407 0.0 0.0 940 788 ? S 10:23 0:01 init viviane 1467 0.0 0.0 2180 1140 ? S 10:15 0:00 /usr/local/apache/bin/httpd -DSSL Com o nmap obtive o sequinte: 21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 37/tcp open time 53/tcp open domain 80/tcp open http 110/tcp open pop3 113/tcp open auth 515/tcp open printer 953/tcp open rndc 2008/tcp open conf 6667/tcp open irc Estas 2 ultimas portas são os serviços que foram implantados através da invasão. Usando o chkrootkit obtive ainda outras informações. Checking `bindshell'... INFECTED (PORTS: 6667) E logo depois o prompt retorna no essa escrita PuTTYPuTTYPuTTYPuTTYPuTTYPuTTYPuTTY PuTTYPuTTYPuTTY Vocês poderia me ajudar a iniciar a processo de limpeza dessa maquina? Grato |
|
|
29-01-2008, 00:20
|
#2 (permalink) |
|
Hack 'n Roll
Registrado em: Jun 2007
Localização: Bahia
Distribuição: FreeBSD
Idade: 18
Posts: 208
Agradeceu: 4
Agradecido 26 vez(es) em 24 Posts
Reputação: 43  |
cara!
bloqueia acesso com firewall a essas portas primeiro por enquanto q vc nao sabe que programa está rodando nessas portas! verifique seus principais arquivos, seus serviços , arquivos de senhas ,etc... tente saber qual processo esta escutando nessas portas com o fuser analisa todos arquivos de log procure por arquivos q comecem com "." ou com espaço " " algo assim! find / -name " " limpa o diretorio /tmp/ e saber como o Invasor conseguiu acesso isso é principal!
__________________
-- Anderson Eduardo Nascimento <c0d3_z3r0> Administrador de Sistemas *Unix anderson_underground[at]hotmail.com |
|
|
|
29-01-2008, 01:11
|
#3 (permalink) |
|
Super Moderador
 
Registrado em: Feb 2006
Localização: Minas Gerais
Idade: 25
Posts: 3,882
Agradeceu: 14
Agradecido 556 vez(es) em 462 Posts
Envios no Blog: 4
Reputação: 488  |
pega as configurações do servidor.. e formata ele...
ou instalei em um novo hd... e mantenha o outro hd para voce descobrir por onde o cara entrou (pelo que vi.. falha no apache, ssl.. alguma coisa assim) procure usar uma distribuição mais nova.. debian, centos .. sao otimas .. sempre tem atualizações !! recomendo CENTOS !
__________________
Sds. Alexandre Correa Onda Internet / OPinguim Web Hosting www.ondainternet.com.br www.opinguim.net Blog http://alexandrecorrea.under-linux.org/ Consultoria Redes, Servidores, Linux, Mikrotik, IkarusOS, StarOS NÃO faça pergunta via mensagem privada, poste sua dúvida no forum. Aprenda a usar o forum, dica by Hitler: http://www.youtube.com/watch?v=8zFYt1_0FUE Leia o FAQ UnderLinux !!!!! http://under-linux.org/wiki/index.ph...Linux_Wiki:FAQ
  |
|
|
29-01-2008, 01:47
|
#4 (permalink) |
|
Super Moderador Cacique
Registrado em: Apr 2003
Localização: Mato Grosso do Sul
Distribuição: Debian, Kubuntu
Posts: 3,416
Agradeceu: 8
Agradecido 231 vez(es) em 208 Posts
Envios no Blog: 1
Reputação: 461 |
como o alexandre disse, faça uma nova instalação..
servidor invadido já era, se tentar corrigir o problema pode só piorar, pois você nunca sabe até onde vai o estrago..
__________________
 Machine Registered: 300.107 "Não queira saber tudo mas seja bom naquilo que sabe." Educação é bom e evita penalização! ____ Copiando do Alexandre Correa - (clique aqui) ____ -= Como fazer perguntas inteligentes =- <-- cliquem aqui!!!! |
|
|
|
29-01-2008, 02:20
|
#5 (permalink) | |
|
Registrado em: Aug 2003
Posts: 249
Agradeceu: 63
Agradecido 10 vez(es) em 7 Posts
Reputação: 90 |
Olá caros amigos,
No momento eu não tenho condições de reinstalar este servidor, pois o mesmo atende uma enorme demanda de serviços que não podem ficar parados um só minuto. De inicio já estarei dando grandes passos se conseguir descobrir como estes: 2008/tcp open conf 6667/tcp open irc Estao sendo iniciados e evitar que eles continuem rodando, se alguem souber de algum meio favor ajudar. Grato Citação:
|
|
|
|
|
29-01-2008, 02:33
|
#6 (permalink) |
|
Super Moderador Cacique
Registrado em: Apr 2003
Localização: Mato Grosso do Sul
Distribuição: Debian, Kubuntu
Posts: 3,416
Agradeceu: 8
Agradecido 231 vez(es) em 208 Posts
Envios no Blog: 1
Reputação: 461 |
digite:
Código:
netstat -apn | grep :2008 netstat -apn | grep 6667
__________________
Machine Registered: 300.107 "Não queira saber tudo mas seja bom naquilo que sabe." Educação é bom e evita penalização! ____ Copiando do Alexandre Correa - (clique aqui) ____ -= Como fazer perguntas inteligentes =- <-- cliquem aqui!!!! |
|
|
|
29-01-2008, 02:52
|
#7 (permalink) |
 
Registrado em: Oct 2003
Idade: 53
Posts: 1,451
Agradeceu: 20
Agradecido 12 vez(es) em 11 Posts
Reputação: 209 |
Meu amigo ....
Eu se fosse você faria o que o pessoal que tem mais experiência já indicou ....  Pega um outro hd e vai instalando um novo Linux. Depois você copia para lá o que você precisa ............. Não perderia tempo em tentar descobrir nada ... Instale tudo novamente. Muito mais seguro .............  Já passei por isso. Fomos invadidos uma vez na empresa onde eu trabalhava. E o melhor caminho que fiz, foi exatamente o indicado pelo pessoal aqui que já deu as dicas. Instalei tudo novamente num novo hd. 
__________________
Slackware - Como é bom o Linux !!! Linux User # 430269 |
|
|
|
29-01-2008, 08:15
|
#8 (permalink) | |
 
Registrado em: Jan 2002
Localização: São Paulo
Distribuição: slackware
Posts: 953
Agradeceu: 4
Agradecido 18 vez(es) em 17 Posts
Reputação: 181 |
Citação:
a) faça bungjump SEM a corda e SEM rede de proteção b) mergulho em profundidades abaixo de 100 metros SEM scuba c) paraquedismo. Esqueça o paraquedas em casa, ao pular.. se não captou a mensagem, então não tem salvação: faça roleta russa com pistola .380 hehehhehehe...
__________________
saudações, <br />irado furioso com tudo <br />FreeBSD BSD50853/Linux User 179402 <br />mais crimes são cometidos em nome das religiões do que em nome do ateísmo. |
|
|
|
|
29-01-2008, 08:24
|
#9 (permalink) |
|
Hack 'n Roll
Registrado em: Jun 2007
Localização: Bahia
Distribuição: FreeBSD
Idade: 18
Posts: 208
Agradeceu: 4
Agradecido 26 vez(es) em 24 Posts
Reputação: 43 |
amigo se vc estiver disponivel para formatar seria uma boa ideia,mas se não poder tenta isso ae
bloqueia logo acesso a essa porta pelo iptables verifica algum processo estranho com ps aux e o programa fuser vc descobre: Dicas/Redes/processo-escutar-porta - UnderLinux Wiki
__________________
-- Anderson Eduardo Nascimento <c0d3_z3r0> Administrador de Sistemas *Unix anderson_underground[at]hotmail.com Última edição por andersoneduardo; 29-01-2008 às 08:35 |
|
|
|
| Ferramentas do Tópico | |
|
|
Tópicos Similares
|
||||
| Tópico | Tópico Iniciado Por | Fórum | Respostas | Última Mensagem |
| Acho que fui invadido | Fukui | Proxy/NAT/Firewall | 1 | 07-07-2006 06:59 |
| SSh Invadido | Bravo | Adm. em Geral | 9 | 01-02-2006 09:20 |
| bloqueio de mac invadido | Adm. em Geral | 14 | 07-01-2006 23:12 | |
| fui invadido?? | mcyberx | Sshd/Telnet | 6 | 04-11-2004 21:53 |
| Fui invadido, o que fazer para nao acontecer? | oyama | Wireless | 20 | 12-09-2004 07:59 |
Horários baseados na GMT -3. Agora são 01:25.
Powered by vBulletin®
Copyright ©2000 - 2008, Jelsoft Enterprises Ltd.
Copyright ©2000 - 2008, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0 ©2008, Crawlability, Inc.
| Divulgue |
|
