From UnderLinux Wiki

Tabela de conteúdo 1 Como saber se houve uma invasão 1.1 Introdução 1.2 Utilização inexplicável da CPU 1.3 Usuários locais tiveram as contas violadas 1.4 Execução de processos estranhos 1.5 O ambiente “parece estranho” 1.6 Novos usuários em seu sistema

Como saber se houve uma invasão

Autor: Luiz Antonio da Silva Junior

Introdução

Uma das principais formas deixar sua máquina protegida é saber quando ela foi invadida. Quanto menos tempo o invasor permanecer conectado à sua máquina, menos tempo ele terá para operá-la e você terá mais chances de expulsá-lo e reparar os danos.

Quanto mais sofisticado for o invasor, menor será sua probabilidade de descobrir o quanto sua máquina foi comprometida. Os mais habilidosos provavelmente encobrirão suas trilhas, o que tornará mais difícil você perceber se executaram alguma alteração e podem ocultar o fato de que estão em sua máquina mesmo quando você estiver procurando rastros.

Ocultando conexões abertas, processos, acesso a arquivos e o uso de recursos do sistema, os invasores podem se esconder ao ponto de parecerem invisíveis no sistema. Se tiverem acesso ao root, poderão executar quase qualquer operação que desejarem em nível do kernel para ocultar sua presença.

Utilização inexplicável da CPU

Invasores mais experientes podem ocultar seus processos da vista do administrador ou simplesmente dar a eles nomes de programas já existentes como cron, inetd, etc, para evitar que eles sejam facilmente detectados.

Se a máquina tiver uma utilização alta da CPU ou apenas parecer lenta, pode ser que ela esteja sendo usada pelo invasor, que freqüentemente executa programas de quebra de senhas (ou outros programas que exijam grande processamento) em computadores invadidos para aliviar a carga de processamento de sua própria máquina.

Usuários locais tiveram as contas violadas

Um invasor freqüentemente invade partindo de uma máquina para a próxima acompanhando os usuários quando eles acessam outros computadores. Invadindo a primeira máquina, o invasor pode observar essas conexões para fora e comprometer a conta na nova máquina. Isso significa que uma invasão de um usuário em uma máquina externa pode indicar que a sua talvez seja um alvo em breve ou que já tenha sido invadida com sucesso anteriormente.

Geralmente, quando uma conta é comprometida, é uma boa idéia verificar a segurança de todas as outras e alterar as senhas durante o processo.

Execução de processos estranhos

Se você perceber a execução de processos que não iniciou e que não são parte do sistema, esses processos provavelmente pertencem ao invasor. Porém, muitos programas são executados a partir do cron. Assim, verifique se o processo suspeito não é simplesmente uma parte do próprio sistema.

Exemplo: slocate

Freqüentemente causa preocupação por usar uma boa quantidade de CPU e acesso ao disco, embora seja um recurso legítimo do sistema.

O ambiente “parece estranho”

A maioria das invasões que são descobertas começam quando o administrador acha que algo está errado e inicia uma busca. Às vezes isso conduz a problemas que não estão relacionados a invasões, como memória defeituosa, mas também leva à descoberta de que a máquina foi invadida.

Se a máquina estiver se comportando de maneira anormal, a causa deve ser identificada rapidamente, antes que seja tarde.

Novos usuários em seu sistema

Se em seu arquivo de senhas conter novos usuários, com certeza isso é um belo sinal de que alguém comprometeu seu sistema (provavelmente um invasor iniciante para pensar que isso não será visto).

Freqüentemente usam nomes de usuários que são parecidos aos já existentes no sistema operacional para que seja menos perceptíveis, como lpr em vez de lp, etc.