Pessoal, instalei o ossec aqui e ele ferou um log de um possivel uso de um rootkit.Entao eu gostaria de saber se tem como eu detectar o uso desse rootkit e se ele está sendo usado no meu servidor.
Tem como eu saber isso?
Desde ja e agradeço
André
Pessoal, instalei o ossec aqui e ele ferou um log de um possivel uso de um rootkit.Entao eu gostaria de saber se tem como eu detectar o uso desse rootkit e se ele está sendo usado no meu servidor.
Tem como eu saber isso?
Desde ja e agradeço
André
caramba, mano.. se está suspeitando - ou se é realmente suspeito - o melhor que vc tem a fazer é tirar o hd de serviço - substitiuindo-o por outro SABIDAMENTE limpinho, e fazer uma análise forense nêsse aí.
BTW, não adianta substituir por outro igualzinho, se o primeiro foi invadido o segundo também o será. Que tal um *BSD novinho em folha?
Caro fisiconuclear18,
Realmente, a melhor opcao a se fazer e' como nosso amigo irado falou. Produza um HD bem estavel, com preferencia em alguma distribuicao *BSD, assegura mais na questao de seguranca, e substitua o HD. Entao analise o anterior, e se nao encontrar nada, formate o mesmo, backupeando seus arquivos.
Tente utilizar o chrootkit, tambem e' muito utilizado.
Boa Sorte amigo!
se o ossec falo que tem rootkit, eh bom vc começar a se preocupar mesmo..... os unicos falso-positivo que peguei com ossec foi quanto a arquivos "ocultos"
Puts, nunca tenho sorte nessas coisas...
E olha que nem tenho hospedado a pagina no meu servidor...
Entao voces sugerem um *BSD, como qual usar, como funciona?
Acredite, nao sei nada sobre bsd...vou pesquisar....
Obrigado pela ajuda pessoal...
Amigo fisiconuclear18,
Pois é cara ...
Cada um tem seu gosto, o meu é indiscutivel o FreeBSD.
Porém o NetBSD fez uma coisa que todo mundo já devia ter feito a muito tempo, jogar o sendmail na lata do lixo haha!
Sobre o FreeBSD, tem um Handbook em pt-BR no site www.openit.com.br, então é só experimentar e com certeza, você vai amá-lo.
Boa Sorte!
E tem também o OpenBSD, o (autodeclarado) sistema operacional mais seguro do universo, que é extremamente estável, rápido e (obvio) seguro. Mas caso vc não se sinta confortável em mudar de sistema operacional instala a sua distribuição atual em um hd "virgem" e coloca o hd fudido em uma máquina separa se vc quer saber exatamente o que tem de rootkit nele