#  > Geral >  > Segurança >  >  Fui invadido o que fazer?

## standart

Olá pessoal,

Uma maquina de um cliente meu foi invadida esta com uns comportamentos estanhos, queria saber como posso fazer um levantamento e corrigir os danos causados.

Atraves de ps obtive informações de 2 processos indevidos.

estoque 2407 0.0 0.0 940 788 ? S 10:23 0:01 init
viviane 1467 0.0 0.0 2180 1140 ? S 10:15 0:00 /usr/local/apache/bin/httpd -DSSL


Com o nmap obtive o sequinte:

21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
37/tcp open time
53/tcp open domain
80/tcp open http
110/tcp open pop3
113/tcp open auth
515/tcp open printer
953/tcp open rndc
2008/tcp open conf
6667/tcp open irc

Estas 2 ultimas portas são os serviços que foram implantados através da invasão.

Usando o chkrootkit obtive ainda outras informações.

Checking `bindshell'... INFECTED (PORTS: 6667)

E logo depois o prompt retorna no essa escrita

PuTTYPuTTYPuTTYPuTTYPuTTYPuTTYPuTTYPuTTYPuTTYPuTTY

Vocês poderia me ajudar a iniciar a processo de limpeza dessa maquina?

Grato

----------


## andersoneduardo

cara!
bloqueia acesso com firewall a essas portas primeiro por enquanto q vc nao sabe que programa está rodando nessas portas!

verifique seus principais arquivos, seus serviços , arquivos de senhas ,etc...

tente saber qual processo esta escutando nessas portas com o fuser 
analisa todos arquivos de log

procure por arquivos q comecem com "." ou com espaço " " algo assim!
find / -name " "

limpa o diretorio /tmp/

e saber como o Invasor conseguiu acesso isso é principal!

----------


## alexandrecorrea

pega as configurações do servidor.. e formata ele...

ou instalei em um novo hd... e mantenha o outro hd para voce descobrir por onde o cara entrou (pelo que vi.. falha no apache, ssl.. alguma coisa assim)

procure usar uma distribuição mais nova..

debian, centos .. sao otimas .. sempre tem atualizações !! recomendo CENTOS !

----------


## lucianogf

como o alexandre disse, faça uma nova instalação..

servidor invadido já era, se tentar corrigir o problema pode só piorar, pois você nunca sabe até onde vai o estrago..

----------


## standart

Olá caros amigos, 

No momento eu não tenho condições de reinstalar este servidor, pois o mesmo atende uma enorme demanda de serviços que não podem ficar parados um só minuto. De inicio já estarei dando grandes passos se conseguir descobrir como estes:

2008/tcp open conf
6667/tcp open irc

Estao sendo iniciados e evitar que eles continuem rodando, se alguem souber de algum meio favor ajudar.

Grato




> como o alexandre disse, faça uma nova instalação..
> 
> servidor invadido já era, se tentar corrigir o problema pode só piorar, pois você nunca sabe até onde vai o estrago..

----------


## lucianogf

digite:



```
netstat -apn | grep :2008
netstat -apn | grep 6667
```

 
estas portas já estão bloqueadas?

----------


## pssgyn

Meu amigo ....

Eu se fosse você faria o que o pessoal que tem mais experiência já indicou .... :Wink: 

Pega um outro hd e vai instalando um novo Linux.

Depois você copia para lá o que você precisa .............

Não perderia tempo em tentar descobrir nada ... Instale tudo novamente. 

Muito mais seguro ............. :Cool: 

Já passei por isso. Fomos invadidos uma vez na empresa onde eu trabalhava. E o melhor caminho que fiz, foi exatamente o indicado pelo pessoal aqui que já deu as dicas. Instalei tudo novamente num novo hd.  :Smile:

----------


## irado

> Olá caros amigos, 
> 
> No momento eu não tenho condições de reinstalar este servidor, pois o mesmo atende uma enorme demanda de serviços que não podem ficar parados um só minuto. 
> 
> Grato


hmm.. já que prefere viver com o risco, sugiro outras coisas mais seguras do que manter um servidor comprometido:

a) faça bungjump SEM a corda e SEM rede de proteção
b) mergulho em profundidades abaixo de 100 metros SEM scuba
c) paraquedismo. Esqueça o paraquedas em casa, ao pular..

se não captou a mensagem, então não tem salvação:

faça roleta russa com pistola .380

 :Wink: 

hehehhehehe...

----------


## andersoneduardo

amigo se vc estiver disponivel para formatar seria uma boa ideia,mas se não poder tenta isso ae

bloqueia logo acesso a essa porta pelo iptables

verifica algum processo estranho com ps aux

e o programa fuser vc descobre:

Dicas/Redes/processo-escutar-porta - UnderLinux Wiki

----------


## standart

Ok galera! Entendi sim o recado de voces e estou tomando as devidas providencias para substituir esse server o mais rapido possivel. Agradeço a todos.

----------


## PEdroArthurJEdi

Ainda bem q você tomou consciência do problema...

O que acontece em invasões é dificilmente pode-se determinar a gravidade do problema. Se o invasor foi um script kiddie, ele pode ter somente instalado um backdoor e um log cleanner... Porém, se foi um sujeito mais informado ele pode ter modificado os binários do teu sistema, instalado alguns KLM maliciosos e ter deixado alguns rastros para te iludir. Isso já aconteceu com algumas honeypots. Os auditores achavam que tinha sido apenas um comprometimendo besta para instalação de botnets. Porém o problema era bem pior e o atacante estava somente tentando desviar as atenções através de problemas mais simples.

O mais inteligente a se fazer, na minha opnião, é fazer uma nova instalação, atualiza-la e somente depois migrar os dados. Lembre-se que a migração dos dados deve ser feita com o HD ligado em outra máquina sem permissão de execução e com o HD somente para leitura. Em seguida, se tiver tempo disponível, faça a análise do disco e descubra a causa.

----------


## standart

Olá amigos, sou extremamente grato pela contribuição de todos vocês, de certo que me concientizei de que o melhor caminho a seguir é realmente trabalhar em um novo sistema, com a proteção mais adequada, o que já esta sendo feito...:-)

Obrigados a todos e um forte abraço.





> Ainda bem q você tomou consciência do problema...
> 
> O que acontece em invasões é dificilmente pode-se determinar a gravidade do problema. Se o invasor foi um script kiddie, ele pode ter somente instalado um backdoor e um log cleanner... Porém, se foi um sujeito mais informado ele pode ter modificado os binários do teu sistema, instalado alguns KLM maliciosos e ter deixado alguns rastros para te iludir. Isso já aconteceu com algumas honeypots. Os auditores achavam que tinha sido apenas um comprometimendo besta para instalação de botnets. Porém o problema era bem pior e o atacante estava somente tentando desviar as atenções através de problemas mais simples.
> 
> O mais inteligente a se fazer, na minha opnião, é fazer uma nova instalação, atualiza-la e somente depois migrar os dados. Lembre-se que a migração dos dados deve ser feita com o HD ligado em outra máquina sem permissão de execução e com o HD somente para leitura. Em seguida, se tiver tempo disponível, faça a análise do disco e descubra a causa.

----------


## pssgyn

Nossa, galera com todo respeito por favor, e nem querer dar uma de conciliador ou moderador, mas nesse momento, e eu já passei por isso, e estou passando novamente, não é nada gostoso, agradável, ouvir qualquer coisa de chacota, piada, a respeito de quem está passando por momentos assim. Na maioria das vezes, somos apenas um suporte qualquer de uma empresa qualquer. Somos as vezes compelidos a dar suporte apenas de um servidor Linux. Mas, várias vezes, não temos conhecimentos sobre o dia a dia de uma empresa. Eu estou passando por isso hoje. Trabalhei numa empresa, saí dela. E a coisa foi sómente piorando. Colocaram Windows, prá tudo, inclusive para servidor de Internet, Dados, etc. Eram servidores Linux com Slackware. Mas como saí, e ninguém conhece nada de Linux, ficaram receosos passaram para Windows. E a coisa agora, está cheia de vírus. Me chamaram, e eu chamei um amigo para me ajudar, vacinamos a rede toda. Mas não tem política nenhuma de uso da internet. E a coisa vai de mal a pior. Está tudo infectado de virus novamente. A empresa estava perdendo até o sistema de gestão empresarial deles, e como eu já conheço, salvei. Mas não é fácil. Não sei, se falar de bumgjump ou coisa parecida, com todo respeito ao Irado, que é IRADO mesmo (com todo respeito), valha a pena. 
Sei lá IRADO, se vale apena a gente brincar assim, quando o usuário te pede pelo amor de Deus ajuda. Afinal, imagino eu, que tem o nosso lado emocional, e não apenas o dinheiro. Não sei se a coisa é bem assim com todos nós. Mas tem aquele lampejo de Deus que nos bate no nosso sentimento. Mas esqueçamos de Deus (se é que podemos esquecer) e vamos ao nosso problema. A empresa errou ? Errou sim, e não temos nada a ver com isso. Ela que se cuide. Mas quando a gente se depara com políticas erradas, com soluções que nada colaboram com o dia a dia para que a empresa funcione com a informática, já que ela depende disso, e hoje, boa parte das empresas não funcionam sem uma informática. Nem que seja apenas um K6 II, ou um Pentium S. Nós que estamos de fora, olhamos e vemos que a coisa vai mal, ficamos olhando e temos que dar alguma solução. E hoje, o diretor me chamou, me pediu algo, para voltar ao nosso bom e agradável Linux. Pelo menos lá, os servidores não vão ter vírus, que habita com tanta agrabilidade o famigerado VÍRUS. No Linux isso não acontecia. Mas vamos ao trabalho. Alguém lá trouxe uma pessoa de uma empresa que sugeriu colocar o Windows 2003 Server. Eu fiquei apenas ouvindo. Já falei para eles. Windows já tem vírus desde o nascimento. Que digam o Windows Vista. E neguinho fica lá duvidando. Mas caro Irado, é bom o seu humor. A gente se diverte mesmo. Você está certo. Mas não dá certo é quando a gente fica no meio da confusão e nos pedindo soluções. Claro que não temos nada a ver com isso. Porque não adotaram solução Linux né ? Já que essa empresa tinha isso. Mas .............

Um bom carnaval para você Irado. No fundo, no fundo mesmo, você se diverte com a problemática alheia e ficamos aqui nos preocupando, quer dizer, fico eu, tentando arrumar alguma solução.

Você tem as suas razões .............. Bom carnaval Irado.

O Brasil começa depois do carnaval ......

Que Deus em toda a sua Glória, Misericórdia, Poder e Maravilha, abençõe esse nosso imenso Brasil e nos dê mais e mais clientes Windows principalmente nos servidores das empresas, para que fiquemos livre dos tais dos Vírus, Trojans, etc, etc ....

Amém ...............

Graças a Deus ........ Valeu IRADO ........ Irado mesmo ..... :Burnout:

----------


## alexandrecorrea

tive uma experiencia que nao gostei, implantei em uma empresa servidor de internet com linux fazendo controle de sites, download etc etc... tambem implementei um servidor de dominio, controlando as estacoes windows, evitando que programas seriam instalados, coloquei um anti-virus centralizado etc etc.. o armazenamento de arquivo era centralizado, todo sincronizado, backup diario e tudo mais.. o pessoa do TI que contratou meus serviços saiu da empresa logo "perdi" o contato com a mesma... ai chamaram uma empresa qualquer.. e adivnha... os caras nao sabia NEM com o que estavam mexendo.. nunca tinham visto nada daquilo.. 

simplesmente formataram TUDO, o servidor que antes era 2003 server.. agora esta rodando windows xp pro.. !!! nao se tem controle de NADA .. nem acesso de internet.. nem backup nem nada...

ta faltando eh profissional no mercado... TECNICO AMADOR ta sobrando... mas profissional mesmo.. existem poucos...

resumindo.. algumas semanas depois que mudaram lah.. me chamaram para socorrer.. cheguei la.. vi essa cena lastimavel... o meu suado trabalho (e a grana que eles gastaram) tudo jogado no lixo... simplesmente falei "a criança nao é minha mais, se quiserem q eu de um suporte para voces, vamos ter que implantar tudo novamente"

assim eles ficaram... sem segurança nenhuma.. eu fico eh com muita pena.. 

grrrrrrrrrrrrrrr !!

----------


## MarceloGOIAS

Olá "campeão",

já resolveu o problema? Reinstalou o sistema? 
Tem certeza que não era algum aplicativo usando aquelas portas?

Já vi alguns neuróticos pensarem que estavam sendo invadidos enquanto eram algum programa ou algum processo desse aplicativo sendo executado em portas diferentes.

Mas de qualquer forma e conforme aquele dito popular: "depois que procissão passar não adianta abanar o chapéu". Mãos à obra e instalar tudo novamente. Na dúvida "fogo no bandido"!

----------


## pssgyn

Engraçado : se isso fosse reinstalar o Windows seria considerado normal para qualquer usuário ou cliente. Mas se for no Linux, neguinho já ia bater o pé e perguntar .. Mas o Linux não é o bonzão da história ou da estória ?? Não tem vírus, etc, etc, etc ???
Eu vi recentemente o WinSquid para Windows. Ou seja, já existe o proxy Squid para Windows. Comentei isso para o pessoal que mexe com Linux aqui em Goiânia e ninguém se animou a instalar o Squid do Windows para Windows. Afinal, boa parte tem instalações piratas. E isso compromete o bom funcionamento do Squid. Não o Squid, mas o Windowsw pirata, que não tem atualizações automáticas e um bom antivirus pago. O WinSquid é maravilhoso. Já testei aqui em casa. É o Linux dentro do Windows. Mas uma contribuição da comunidade Linux. Muito bom, com todas as características do Squid mesmo. 
Parabéns a comunidade Linux ........... :Rofl: 
Ainda bem que a galera do Ubuntu, e outras distribuições, já estão no encalço do Windows. E o Windows Vista, é um sistema operacional pesadão, enjoado de configurar e temos que conviver com isso. Não sei qual é a filosofia da Microsoft. Mas se o Linux quiser avançar, esse é um bom momento. Afinal, ter que ter trocentos megas ou gigas, de memória, como exige o Windows Vista, é terrível, não só para o usuário doméstico, mas para o usuário empresarial também.  :Itsme: 
Principalmente o empresarial ...................

----------

