Página 1 de 13 123456 ... ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    maverick_cba
    Galera, venho atráves desde lhes comunicar uma experiência que me fora relatada hoje por um amigo meu e que me causou um certo medo.

    Pois bem, um amigo meu me contou hoje sobre uma invasão que recem fizeram à um servidor deles. O servidor roda Debian 3.1 com todas as atualizações em dia.

    Detalhes da invasão:
    Percevendo que ao tentar executar qualquer comando do shell como por exemplo ls, cd, e etc acontecia um erro do tipo segmentation fault. Achando estranho isso, meu amigo decidiu averiguar pois era um servidor de testes e que iria para a produção.

    Sem descobrir nada o motivo, ele resolve averiguar nos logs. E eis o espanto. Diversos acessos foram feitos na máquina utilizando o ssh com conta de root. Detalhe: a senha possuia 13 digitos

    Os bastidores:

    A invasão se deu pelo fato da instalação de algum pacote Debian infectado (que ainda não sabemos qual) que monitorava os comandos digitados no shell, com isso o hacker conseguiu seu primeiro sucesso, invadir uma conta não privilegiada. Apartir do momento que alguem logou com a senha do root, o bendito script (vírus ou sei lá) capturou a senha e enviou para o invasor, com isso ele acessou a máquina e liberou o acesso via ssh direto a conta de root.

    Em seguida habilitou um serviço de smtp na máquina (acho que ele queria disseminar spam) e tb a porta 7000.

    Depois começou a vasculhar os arquivos do servidor. Como era um servidor web, o danado abriu os fontes dos arquivos e achou a senha do servidor mysql remoto.

    Ele tentou uma série de invasões inserindo scripts em pearl no servidor mysql. A sorte foi que em nehuma das tentativas de invasão ao mysql foi bem sucedida, porem ele já possuia informações demais para manipular toda a infra-estrutura da máquina.

    A solução foi formatar a máquina e liberar o acesso ao shell somente a um determinado ip.

    Agora lhes faço a pergunta que me deixou indignado e com medo.
    Quem nos garante a integridade dos pacotes que estão disponíveis no Debian atráves do apt-get?

    Pelo que eu sei, qualquer um pode desenvolver seus pacotes e coloca-los disponíveis para download através do apt-get sem que haja nenhuma verificação disso.

    Estou indignado, pois pensei que tinha achado uma ótima distribuição.
    Estou voltando para o slackware que ainda considero seguro e leve.

    Fica aqui o alerta aos senhores adminstradores de sistemas que tanto penam assim como eu para manter a segurança dos mesmos.

  2. Fica um alerta a seu amigo que ao inves de botar o servidor pra funcionar com pacotes stables, botou com pacotes instables e com fontes desconhecidas... sem contar que nao deve ter posto firewall...

    Se era um servidor web deve ter deixado um monte de portas abertas ao invés da 80...

    Pede pra ele reinstalar tudo e fazer outra verificação (não estou querendo com isso dizer que o sistema é 100% a prova de falhas e a culpa foi dele)

    Ele tem pelo menos nos logs dele o ip do invasor?



  3. #3
    maverick_cba
    Ainda não sei se o motivo foi o uso de pacotes unstable, pois irei averiguar com ele, mas de qualquer forma avia um programa espião que estava enviando dados para o invasor e ele me garante que não instalou nenhum software que não fosse através do apt-get. Portanto acredito eu que existe programas maliciosos nos mirrors do Debian. Afinal alguem com mas intenções poderia imbutir um espião em algum programa.

    Até onde sei havia instalado no servidor somente o apache + mysql + php.

    Quanto ao firewall, ele não implantou um sistema de firewall pois o PC estava por trás de um firewall de uma Organização (que não vou falar o nome) que do tamanho que ela é e o tipo de informações que ela trabalha, no mínimo deveria ter o maior sistema de segurança do estado. Mas depois dessa percebeu-se que o firewall dos caras era só fachada, pois a porta 7000 estava liberada.

  4. O mesmo se o cara usar versão unstable, é feio se isso for verdade, porque uma distro que prima pela segurança e tals permitir que qq um poste programas nos repositorios nao da certo, acho que se for verdade isso teria de ser repassado para a comunidade ficar esperta.

    falows



  5. #5
    alex_sorocaba
    hehehehe, de uma coisa eu sei o "hacker" num eh muito bom nao, pois colocou um rootkit muito porco no sistema ou nao soube configurar ou portar o rootkit pro sistema em questao
    um servico muito mal feito.

    Pra que ele vasculharia arquivos no servidor em busca senhas ou vulnerabilidades do mysql sendo que ele jah tinha root?

    creio eu que foi assim, pois num ficou muito claro: o invasor deve ter acessado primeiramente os scripts do servidor, conseguiu ver a senha do mysql nos scripts que por acaso acessam o bd com senha de root que seria a mesma do ssh. dai comecou o ataque. colocou um rootkit e um sniffer, creio eu que essa porta 7000 seria uma cmd com suid.

    ssh pra root






Tópicos Similares

  1. Invasão - Resposta
    Por AndrewAmorimdaSilva no fórum Servidores de Rede
    Respostas: 21
    Último Post: 18-03-2003, 15:56
  2. Livro - Hackers Crashdown
    Por fabiorenno no fórum Servidores de Rede
    Respostas: 0
    Último Post: 12-03-2003, 15:46
  3. Tentativa de invasão ???/ Como agir ??
    Por adcorp no fórum Segurança
    Respostas: 10
    Último Post: 06-12-2002, 08:50
  4. INVASÃO
    Por Solver no fórum Segurança
    Respostas: 2
    Último Post: 18-10-2002, 07:07
  5. invasao???
    Por 1c3m4n no fórum Segurança
    Respostas: 4
    Último Post: 16-10-2002, 10:59

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L