Olá a todos do forum.
Estou preocupado com a seguinte situação: Essa semana notei que 2 servidores de ponta (firewall) meu estão com os arquivos last em branco. O lastlog aparentemente esta OK mas o last estavam totalmente zerado.
Isso seria algum indicio de invasão?
Pode ser um possível problema no app last do linux?
Como saber se posso ter sido invadido?
Linux: Linux ##### 2.6.32-5-686 #1 SMP Mon Jun 13 04:13:06 UTC 2011 i686 GNU/Linux
SSH : SSH-2.0-OpenSSH_5.5p1 Debian-6
Att
-
03-10-2011, 18:18 #1
- Ingresso
- Dec 2008
- Posts
- 22
Last Loggin do Linux em branco.
-
04-10-2011, 12:28 #2 Re: Last Loggin do Linux em branco.
primeira coisa eh desconectar a maquina da rede, e depois analisar processos, arquivos, etc !!
eh uma coisa bem demorada que vai demandar conhecimento, experiencia e o pior de tudo.. TEMPO !!
-
04-10-2011, 18:39 #3
- Ingresso
- Dec 2008
- Posts
- 22
Re: Last Loggin do Linux em branco.
Recomenda alguma ferramenta?
-
04-10-2011, 18:46 #4 Re: Last Loggin do Linux em branco.
tem root kit hunter que faz uma busca pelos RK mais comuns.. ajuda tambem..
o que voce precisa fazer no novo servidor é instalar ferramentas que monitoram a alteração dos arquivos...
quando vc instala.. ele gera uma lista dos arquivos do HD com suas MD5 ... qualquer arquivo alterado (executavel) ele te notifica por email... se foi alteração intencional.. ok.. se nao foi.. algo esta errado ehhehe
Suggestions for file integrity monitoring?
-
04-10-2011, 18:57 #5
- Ingresso
- Dec 2008
- Posts
- 22
Re: Last Loggin do Linux em branco.
Opa Show de bola.. Ja estou instalando um novo servidor...
Obrigado
-
30-10-2011, 16:11 #6
- Ingresso
- Feb 2011
- Localização
- Caçador/Joaçaba
- Posts
- 252
Re: Last Loggin do Linux em branco.
Opa,e ai Rapaz, achou algum Rookit nessa maquina?
Citação
