+ Responder ao Tópico



  1. #1

    Padrão Invasão?

    Bom galera.... hj meu server começou o dia zoado... serviços startados mas todos os serviços que criavam arquivos em /tmp não iniciavam nem ferrando. Amavis, clamd e pos ai vai... Nesse mesmo servidor eu tenho um apache instalado... e vejam o que eu encontrei de informação no meu /tmp !!!


    drw-rw-rwT 11 root root 520 Jun 22 08:29 tmp/

    [root]@[zen-srv2]:/etc/rc.d/init.d # ll /tmp/
    total 1,5M
    drwxr-xr-x 3 apache apache 72 Mai 28 11:33 /
    drwxr-xr-x 12 apache apache 544 Jun 18 20:41 bnc/
    -rwxr-xr-x 1 apache apache 365 Jun 10 19:01 cb.pl*
    -rwxr-xr-x 1 apache apache 104K Jun 18 03:00 cosmy.tar.gz*
    drwxr-xr-x 3 apache apache 280 Jun 17 19:19 emech/
    srwxr-xr-x 1 root root 0 Out 12 2004 filexH9mgo=
    -rw-r--r-- 1 root root 18 Jun 22 08:50 mailstat.old
    drwxr-xr-x 3 apache apache 304 Jun 18 04:00 mech/
    -rwxr-xr-x 1 apache apache 104K Jun 15 13:25 miami.tar.gz*
    -rwxr-xr-x 1 apache apache 104K Jun 17 19:05 palchat.tar.gz*
    -rwxr-xr-x 1 apache apache 1,1M Abr 16 2004 psy.tar.gz*
    -rw-r--r-- 1 root root 48K Mai 2 16:07 stats.db
    [root]@[zen-srv2]:/etc/rc.d/init.d #
    O principal que eu queria saber é o q é esse "T" na parte de permissões do /tmp

    sapeando os tar.gz ... foram deles que foram criadas as pastas que estão no /tmp

    se estiverem interessados no conteudo das pastas e dos tar.gz (e se quiserem me dar um help mais a fundo, postem ai....)

    Vlw pessoal... hj o dia ja ta down pra mim....

  2. #2

    Padrão Invasão?

    bem... não vai ajudar muito, pq se o seu server é suspeito de estar comprometido a primeira ação seria TIRA-LO do serviço, substituindo-o por um servidor-espelho ou mesmo um meia-boca que mantivesse os serviços, enquanto vc analisaria (forensics) êsse aí.

    Como não conheço NINGUÉM que tenha um servidor espelho, a melhor ação seria vc usar o rootkit (dá uma busca no freshmeat) pra pelo menos ver se o essencial permanece.

    remova a característica de executável dos *tar.gz (chmod -fv 0644 *tar.gz) e examine seu conteúdo, principalmente procurando por executáveis (*sh, *pl, etc). Examine êsse cb.pl daí, bem como procure analisar o conteúdo dos folder's que foram criados. Examine seus logs (/var/log/* e /var/log/messages) para ver se existe um horário suspeito - por exemplo, registros PARALIZADOS às 22:00 e REINICIADOS às 4:00 horas indicam que vc ficou aproximadamente 6 horas sem nada registrado... melhor dizendo, tudo foi apagado.

    APÓS o rootkit, chame o tcpdump (ou ethereal) e verifique o que está saindo/entrando nessa mákina, volumes e tudo o mais.

    Veja (last) quem foi que esteve perambulando pela máquina - apesar que não deve haver muita coisa disponível nêle.

    De qualquer forma, EU pediria outra mákina. Servidor de produção comprometido é froidz...

    Bem.. se até aqui achou isso um trabalho chato, fique sabendo que é chato mesmo. E demora dias, às vêzes.

    divirta-se :twisted:

  3. #3

    Padrão Invasão?

    sem dúvida coelga.. o seu servidor foi comprometido..

    "psy.tar.gz" é um psyBNC, nc deswcobri qual é o gozo de estar sepre on-line no IRC, mas a maioria dos script kiddies gosta e então instalam esse psybnc, esse cb.pl, deve ser uma bindshell ou algo do género faça um "cat" e veja o conteudo..
    se n foi vc que colocou isso aí no /tmp .. logo, a maquina foi comprometida...
    desligue a maquina da rede (nc faça um poweroff) e arranje outro servidor com o sistema operativo actualizado.. esperimente o fedora 4 que saíu recentemente..
    jamais volte a colocar essa maquina na rede, pois a intigridade da mesma pode ser tb comprometida, leia uns artigos sobre análise forense, vão ajudar bastante
    Um abraço

  4. #4

    Padrão Invasão?

    Valeu pessoal, desculpa até a demora pra responder pq eu acho que vcs sabem o trampo que dá....

    Consegui colocar outra makina aki pra segurar as pontas dessa maquina... eu vou reisntalar essa joça... felizmente pelo que eu vasculhei não teve nada de mais comprometedor... e a falha veio no awstats... e principalmente minha, pois até tinha esquecido da existencia desse cara.......

    Bom valeu... vou começar a montar um server novo hoje, com gentoo. Deve de ficar legal.

    Abraços!