+ Responder ao Tópico



  1. #1
    lrezende
    Visitante

    Padrão Linux bombado... URGENTE

    Oi pessoal, help....

    Estou com minha máquina linux aqui no trabalho bombada...
    Vou começar pela forma como eu descobri:
    Um usuário ligou dizendo que não estava conseguindo baixar os e-mails... Vi que a porta 110 não estava ativa... Dei um service inet stop depois um service inet start... Ele disse que tinha falhado porém a porta 110 ativou... Não sei porque! Até aí, tudo bem(ou mal), pois estava bastante atarefado com outros afazeres e não tinha como ver a bronca... Daqui a pouco, ocorreu novamente... Achei estranho e pedi pra a empresa responsável dá uma olhada... O cara disse que a máquina tinha sido invadida e que seria preciso reinstalar... Ele fez uma verificação com o comando "rpm -Va | grep 5" e deu esse diagnóstico... Realmente os arquivo estavam todos bombados...

    Ok... A máquina tem um comportamento estranho... Eu dou um service inet start e stop logo depois de reiniciar funfa tudo beleza.... Depois de algum tempo, não funfa mais... eu dou um stop, ele dá ok... eu dou um start ele diz que falhou mas ativa o serviço...

    A minha configuração é: Conectiva 7.0 Kernel 2.4.5-9cl

    Estou fud.... <IMG SRC="images/forum/icons/icon_eek.gif">
    Agradeço qualquer ajuda...

  2. #2
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão Linux bombado... URGENTE

    Bom amigo, nao sou um bom conselheiro quanto a BH-like, mas aconselho sim a total reinstalacao

  3. #3
    lrezende
    Visitante

    Padrão Linux bombado... URGENTE

    ok psy,
    a reinstalação não é o problema... o problema é saber como e quando aconteceu a merda... pra que não venha acontecer novamente...

    além disso queria saber se alguém teve alguma experiência dessa.... e uma explicação do que aconteceu... tipo alguma bronca de hard, invasão, soft... que merda deu...

    agradeço psy...
    abraço

  4. #4
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão Linux bombado... URGENTE

    Procure nos logs do dia em que voce notou estar estranho os servicos da maquina, voce nao roda firewall algum?

    cd /var/log/ ; ls

  5. #5
    lrezende
    Visitante

    Padrão Linux bombado... URGENTE

    ok,
    eu fiz alguns testes tipo remover o arquivo /bin/mv e instalar o pacote novamente... o fileutils... rpm -Uhv --force fileutils-blablabla.rpm mas não funfou... ele continuou dando erro na checagem do md5...

    coisas como essas é que eu não entendo... sou o tipo do cara que, apesar de não ter muito conhecimento(ainda) em linux fico puto pq não consigo achar uma explicação para o ocorrido... quando vc se acha totalmente ignorante é beleza... a gente aceita que não sabe e pronto... mas consultar pessoas que tenham uma vivência grande no mundo do linux, como foi o caso do meu amigo, e não conseguir fazer bulufas.... eu fico encucado e perco o sono... penso o seguinte: se o cara já tem uma experiencia danada e não faz idéia de como resolver, imagina eu que trabalho com linux a pouco tempo... 1 ano acho!

    bom pessoal, não quero encher liguiça... desculpem o desabafo galera... mas é que ficou entalado e eu precisava dizer pra alguém... penso que nessa lista não temos apenas companheiros unidos meramente pelos linux, mas sim amigos que se dispoem a ajudar e dar o máximo de si pela lista, não apenas tecnicamente... (dava pra chorar <IMG SRC="images/forum/icons/icon_biggrin.gif"> )

    valeu de qualquer forma, abração turma... agradeço em especial ao psy

    fui <IMG SRC="images/forum/icons/icon_eek.gif">

  6. #6
    lrezende
    Visitante

    Padrão Linux bombado... URGENTE

    Ah,
    esqueci de dizer: vamos a reinstalação!

    <IMG SRC="images/forum/icons/icon_wink.gif">

  7. #7
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão Linux bombado... URGENTE

    Fico grato =)

  8. #8
    Visitante

    Padrão Linux bombado... URGENTE

    cara, se amáquina foi "ivadida" provavelmente é porque algum servico nela tava bugado... vc costuma atualizar os pacotes da distribuicao?? pode não ser uma total solucao, mas já ajuda...

    outra coisa:

    quais servicos essa maquina executa e quais estão habilitados? as vezes por falta de atencao (seja pela correria ou pela distração msm) vc pode ter deixado algum servivo bugado executando... (sendmail, apache+openssl-0.9.6x... sshd)

    depois que você reinstalar o servidor, adicione ao crontab o uso do apt-get... pra atualizar os pacotes instalados na máquina... (de preferencia, deixe-o funcionando no horario de menos tráfego na rede... pra nao afogar os outros users)

    é isso... espero que tenha te dado uma ajuda tb <IMG SRC="images/forum/icons/icon_smile.gif">

  9. #9

    Padrão Linux bombado... URGENTE

    Depois da instalação reveja o seu Firewall, quais os serviços precisem estar abertos e utilize o Snort+Guardian para ficar vigiando a sua rede, pois se tiver com IP-Fixo e foi invadido provalvelmente eles voltaram.


    Marcos Amorim

  10. #10
    lrezende
    Visitante

    Padrão Linux bombado... URGENTE

    certo,

    onde eu encontro informações sobre snort+guardian?

  11. #11

    Padrão Linux bombado... URGENTE

    Tem um artigo sobre ele aqui na Underlinux e tb na LinuxIT, Seção Segurança


    Marcos Amorim

  12. #12