Fui invadido, o que fazer para nao acontecer?
Galera não e os clientes wireless pois o link tava tao lento que parei minha rede restartei o server, alem do mais minha rede nao e tao grande assim, tenho apenas oito pontos(redes pequenas) compartinhando um link de 256k, isto esta vindo de fora ou pode ser alguma falha de seguranca no red hat 8, fiz um update dele coloque mais algumas regrinhas no fire e vou aguardar para o melhor.
eita, vou almocar agora. :)
Fui invadido, o que fazer para nao acontecer?
Se vc acredita que ataque externo, procure indícios por qual serviço vc foi invadido. Faça um teste com o nessus no host em questão que vc poderá ter alguma noção de qual sistema foi atacado...
Como vc disse que já formatou, não poderá fazer uma análise detalhada da possível invasão...
Lembre tb q o RH8 é versão descontinuada e não existe mais suporte, portanto as atualizações que efetuou (principalmente se o fez por up2date ou yum de qq repositório) com certeza estão desatualizadas... Pense com carinho em instalar uma distro atualizada dentro do "lifetime"
Para prevenir, é altamente recomendável que os pacotes que não são utilizados sejam REMOVIDOS para que não sejam utilizados no caso de uma nova invasão...
Para finalizar, não confie tanto nos usuários internos... mesmo q não tenham invadido a conduta deles pode ter sido o vetor da invasão...
QQ coisa escreva...
T+
Fui invadido, o que fazer para nao acontecer?
O problema continua, formatei inclui algumas regras a mais no firewall tentei outros exemplo de firewall e o link quando acesso pelo firewall fica muito lento e depois volta ao nomal, restarto o server e volta nomal e em questao de minutos fica lento novamente. tomei todo o cuidado de so colocar a maquina na rede depois que o fire estivesse rodando. rodei o tcpdump e assim que coloco o cabo do link comeca a gerar trafego . puts o que sera?
Fui invadido, o que fazer para nao acontecer?
Carra vc deve ter o relay aberdo do sendmail da um stop no sedmail pra ver se para o trafego...... /etc/rc.d/init.d/sendmail stop ai se for isso copia o arquivo relaydomains que ta dentro do diretorio /etc/mail/relaydomains e posta aqui pra ver como ele esta.
Fui invadido, o que fazer para nao acontecer?
Citação:
Postado originalmente por SerAntSou
usa o tcpdump e verifique as conexoes... aqui tem um cliente que deixou a maquina dele virar zumbi... os caras tao regacando geral o link aqui... fui lah e arranquei o cabo do hub deles... o q peguei no tcpdump foi uma conexao pela porta 1025 no cliente fazendo tunelamento por dentro do meu server (porta 53) e minhas regras de fw nao surtiram nenhum efeito... estou ainda verificando que praga foi essa... 8O
Manu, q loucura! dá uma olhada na versão do seu Bind e vê se ele tem alguma vulnerabilidade. pode ser q eles estejam usando. é uma boa também neste caso usar caching nameserver e deixar os clientes consultar dns da sua rede interna.
Abraços.