Invasoes E Trojans no meu servidor

[vivaldorf]

:? Galera tenho um servidor debian rodando belezinha
com dns,internet,apache,ftp e postifix, esta tudo ok aqui.

mas toda vez q chego de manha pra olhar o servidor ele apresenta
um msg de backoriffice na eth1, q eh onde ta ligado a net do servidor meu.

Presumo q isso seja trojans ou alguem invandido ou tentando.

Como faco para ver as portas abertas.

E Como faco para ver se tenho um firewall instalado no meu servidor,
e como configurar ele.

Como faco para deixar ele livres desse tipos de invasoes, para me
proteger das invasoes padroes q qq lammer consegue fazer sabe..

Agradeco desde jah

e esperos respostas.


Vivaldo R Felipe :wink:

[gustavo_marcon]

use o iptables pra bloquear portas sem uso ou pra liberar as que puderem, somente pra rede interna, depois atualize seus servidor pra versões mais recentes que vão ter correções pros bugs mais conhecidos, dai fique de olho nos logs dos teus servidores pra evitar esse tipo de coisa.

ah, e pra ver as portas abertas use o nmap

espero ter ajudado

[Kernel-Panic]

ae galera.. so uma duvida?
se nao me engano portas nao podem ser fechadas com iptables, a nao ser que vc pare o serviço programa q esteja abrindo elas correto?
vc pode sim bloquea-las com uma maquina firewall que fique antes da maquina que rode os programas né ? mas na maquina que roda os serviços tipo bind, squid, apache .. etc vc nao consegue fechar bloquear as portas com o iptables né

[gustavo_marcon]

realmente, como eu habia dito no post acima, que ele poderia usar o iptables para bloquear as portas, até porque se o cara fechar a porta o servidor que usa ele para de funcionar corretamente....

Com o iptables vc pode bloquear qualquer porta, mas no caso de servidores web, dns etc.... vc precisa que eles sejam vistos pela internet, então como eu tbm disse no post acima, o cara pode bloquear somente as portas dos servidores que não são uteis na internet e deixa-las rodando pela rede interna somente, que dai será mais fácil ter controle de quem acessa.

Mas se quiser fechar a porta, é exatamente isso, pare o serviço e pronto..

[xstefanox]

Bom, conforme o colega acima falou: você pode sim bloquear as portas abertas no seu servidor por IPTables. Independente se ele é um servidor dedicado à firewall ou se ele é o próprio servidor Apache, Squid, Samba, etc.

Eu já li a respeito desse problema, mas foi MUITO tempo atrás. Pelo o que eu me lembro, era apenas um "alarme-falso". Não há nada de errado com seu servidor (provavelmente).

Mas continuando. Você pode analizar as portas do seu servidor que estão abertas utilizando um portscanner como o nmap. Só que é importante rodá-lo direcionado para o IP válido do seu servidor, não o interno.

Para você ver se o seu firewall está instalado, simplesmente digite "ipta" e dê um tab no seu bash, se ele completar, ele está instalado. Hehehe. Jeito meio idiota de se ver, mas provavelmente vai estar instalado, já que qualquer distribuição atual já vem habilitada por padrão o recurso do IPTables.

Abraços!

[vonlinkerstain]

Completando o mais que completo vamos lá..
Caso o iptables não esteja instalado na sua máquina, eu procuraria aprender um pouco mais sobre iptables, já que você é aparentemente um admin sem conhecimento de firewall e isto é perigoso (o linux não é 100% seguro não)
pra instalar o iptables faça o seguinte
vá a um console e digite
apt-get update
apt-get install iptables

e espere que ele vai instalar isso pra você...

[irado]

:?
Como faco para ver as portas abertas.

:wink:

netstat -nl

[vivaldorf]

Valeu Galera por enquanto....

Vou usar as dicas q vc's me deram ae...

Mas Todo Caso valeu...

Pois acho q vou migrar meu servidor para Slack...

Valeu qq coisa posta aqui denovo..

falow

Vivaldo R. Felipe :wink: