Página 2 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. #7
    Aquini
    Visitante

    Padrão Fui invadido, o que fazer para nao acontecer?

    Se vc acredita que ataque externo, procure indícios por qual serviço vc foi invadido. Faça um teste com o nessus no host em questão que vc poderá ter alguma noção de qual sistema foi atacado...

    Como vc disse que já formatou, não poderá fazer uma análise detalhada da possível invasão...

    Lembre tb q o RH8 é versão descontinuada e não existe mais suporte, portanto as atualizações que efetuou (principalmente se o fez por up2date ou yum de qq repositório) com certeza estão desatualizadas... Pense com carinho em instalar uma distro atualizada dentro do "lifetime"

    Para prevenir, é altamente recomendável que os pacotes que não são utilizados sejam REMOVIDOS para que não sejam utilizados no caso de uma nova invasão...

    Para finalizar, não confie tanto nos usuários internos... mesmo q não tenham invadido a conduta deles pode ter sido o vetor da invasão...

    QQ coisa escreva...

    T+

  2. #8

    Padrão Fui invadido, o que fazer para nao acontecer?

    O problema continua, formatei inclui algumas regras a mais no firewall tentei outros exemplo de firewall e o link quando acesso pelo firewall fica muito lento e depois volta ao nomal, restarto o server e volta nomal e em questao de minutos fica lento novamente. tomei todo o cuidado de so colocar a maquina na rede depois que o fire estivesse rodando. rodei o tcpdump e assim que coloco o cabo do link comeca a gerar trafego . puts o que sera?



  3. #9

    Padrão Fui invadido, o que fazer para nao acontecer?

    Carra vc deve ter o relay aberdo do sendmail da um stop no sedmail pra ver se para o trafego...... /etc/rc.d/init.d/sendmail stop ai se for isso copia o arquivo relaydomains que ta dentro do diretorio /etc/mail/relaydomains e posta aqui pra ver como ele esta.

  4. #10
    infect
    Visitante

    Padrão Fui invadido, o que fazer para nao acontecer?

    Citação Postado originalmente por SerAntSou
    usa o tcpdump e verifique as conexoes... aqui tem um cliente que deixou a maquina dele virar zumbi... os caras tao regacando geral o link aqui... fui lah e arranquei o cabo do hub deles... o q peguei no tcpdump foi uma conexao pela porta 1025 no cliente fazendo tunelamento por dentro do meu server (porta 53) e minhas regras de fw nao surtiram nenhum efeito... estou ainda verificando que praga foi essa... 8O
    Manu, q loucura! dá uma olhada na versão do seu Bind e vê se ele tem alguma vulnerabilidade. pode ser q eles estejam usando. é uma boa também neste caso usar caching nameserver e deixar os clientes consultar dns da sua rede interna.
    Abraços.



  5. #11

    Padrão Fui invadido, o que fazer para nao acontecer?

    Citação Postado originalmente por patrickcanton
    Carra vc deve ter o relay aberdo do sendmail da um stop no sedmail pra ver se para o trafego...... /etc/rc.d/init.d/sendmail stop ai se for isso copia o arquivo relaydomains que ta dentro do diretorio /etc/mail/relaydomains e posta aqui pra ver como ele esta.
    o sendmail foi o primeiro que foi pro espaco quando refiz a instalacao, quanto ao
    relaydomains nao encontrei somentes estes:
    /usr/sbin/pppoe-relay
    /usr/share/doc/postfix-1.1.12/html/TLS/relaycert.html
    /usr/share/doc/postfix-1.1.12/relaycert.html
    /usr/share/man/man8/pppoe-relay.8.gz
    /usr/src/linux-2.4.18-14/Documentation/networking/framerelay.txt
    /sbin/pppoe-relay

  6. #12

    Padrão Fui invadido, o que fazer para nao acontecer?

    Citação Postado originalmente por infect
    Citação Postado originalmente por SerAntSou
    usa o tcpdump e verifique as conexoes... aqui tem um cliente que deixou a maquina dele virar zumbi... os caras tao regacando geral o link aqui... fui lah e arranquei o cabo do hub deles... o q peguei no tcpdump foi uma conexao pela porta 1025 no cliente fazendo tunelamento por dentro do meu server (porta 53) e minhas regras de fw nao surtiram nenhum efeito... estou ainda verificando que praga foi essa... 8O
    Manu, q loucura! dá uma olhada na versão do seu Bind e vê se ele tem alguma vulnerabilidade. pode ser q eles estejam usando. é uma boa também neste caso usar caching nameserver e deixar os clientes consultar dns da sua rede interna.
    Abraços.
    Blz cara nao utilizo o bind, mais vou instalar aqui com isso vou economizar link e ganhar rapidez nas consultas atraves do server na rede loca. valeu pela dica. mais acredito que isso nao resolva meu problema.