Página 1 de 4 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. Olá pessoal,

    Uma maquina de um cliente meu foi invadida esta com uns comportamentos estanhos, queria saber como posso fazer um levantamento e corrigir os danos causados.

    Atraves de ps obtive informações de 2 processos indevidos.

    estoque 2407 0.0 0.0 940 788 ? S 10:23 0:01 init
    viviane 1467 0.0 0.0 2180 1140 ? S 10:15 0:00 /usr/local/apache/bin/httpd -DSSL


    Com o nmap obtive o sequinte:

    21/tcp open ftp
    22/tcp open ssh
    25/tcp open smtp
    37/tcp open time
    53/tcp open domain
    80/tcp open http
    110/tcp open pop3
    113/tcp open auth
    515/tcp open printer
    953/tcp open rndc
    2008/tcp open conf
    6667/tcp open irc

    Estas 2 ultimas portas são os serviços que foram implantados através da invasão.

    Usando o chkrootkit obtive ainda outras informações.

    Checking `bindshell'... INFECTED (PORTS: 6667)

    E logo depois o prompt retorna no essa escrita

    PuTTYPuTTYPuTTYPuTTYPuTTYPuTTYPuTTYPuTTYPuTTYPuTTY

    Vocês poderia me ajudar a iniciar a processo de limpeza dessa maquina?

    Grato

  2. cara!
    bloqueia acesso com firewall a essas portas primeiro por enquanto q vc nao sabe que programa está rodando nessas portas!

    verifique seus principais arquivos, seus serviços , arquivos de senhas ,etc...

    tente saber qual processo esta escutando nessas portas com o fuser
    analisa todos arquivos de log

    procure por arquivos q comecem com "." ou com espaço " " algo assim!
    find / -name " "

    limpa o diretorio /tmp/

    e saber como o Invasor conseguiu acesso isso é principal!



  3. pega as configurações do servidor.. e formata ele...

    ou instalei em um novo hd... e mantenha o outro hd para voce descobrir por onde o cara entrou (pelo que vi.. falha no apache, ssl.. alguma coisa assim)

    procure usar uma distribuição mais nova..

    debian, centos .. sao otimas .. sempre tem atualizações !! recomendo CENTOS !

  4. como o alexandre disse, faça uma nova instalação..

    servidor invadido já era, se tentar corrigir o problema pode só piorar, pois você nunca sabe até onde vai o estrago..



  5. Olá caros amigos,

    No momento eu não tenho condições de reinstalar este servidor, pois o mesmo atende uma enorme demanda de serviços que não podem ficar parados um só minuto. De inicio já estarei dando grandes passos se conseguir descobrir como estes:

    2008/tcp open conf
    6667/tcp open irc

    Estao sendo iniciados e evitar que eles continuem rodando, se alguem souber de algum meio favor ajudar.

    Grato

    Citação Postado originalmente por lucianogf Ver Post
    como o alexandre disse, faça uma nova instalação..

    servidor invadido já era, se tentar corrigir o problema pode só piorar, pois você nunca sabe até onde vai o estrago..






Tópicos Similares

  1. Acho que fui invadido
    Por Fukui no fórum Servidores de Rede
    Respostas: 1
    Último Post: 07-07-2006, 06:59
  2. Respostas: 20
    Último Post: 12-09-2004, 07:59
  3. Dominio Virtual o que fazer?
    Por Anticristh no fórum Servidores de Rede
    Respostas: 2
    Último Post: 23-12-2002, 12:42
  4. acl no squid não está funcionando. O que fazer ?
    Por no fórum Servidores de Rede
    Respostas: 3
    Último Post: 20-12-2002, 16:01
  5. Modem só da ocupado ! O que fazer ??
    Por no fórum Servidores de Rede
    Respostas: 6
    Último Post: 18-11-2002, 23:21

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L