Servidor Invadido...será?
gostaria da ajuda de vocês na seguinte questão....
temos um provedor de internet via rádio aqui e sairam alguns comentários de que nosso servidor foi invadido e tal e que tem muita gente que tem todas as senhas...
verifiquei os logs de segurança e está tudo ok...
o server é bloqueado para acessos externos...
programei nas regras para somente eu entrar e fazer manutenção...
existe algum programa que possa usar para dar uma checada extra no sistema...
100% de proteção não existe...
Servidor Invadido...será?
Amigo estão colocando medo em você, a unica opcao que tem é clonando o MAC. Amigo qual o AP que você está usando????? Flw!
Re: Servidor Invadido...será?
Citação:
Postado originalmente por AndreLinux
gostaria da ajuda de vocês na seguinte questão....
temos um provedor de internet via rádio aqui e sairam alguns comentários de que nosso servidor foi invadido e tal e que tem muita gente que tem todas as senhas...
verifiquei os logs de segurança e está tudo ok...
o server é bloqueado para acessos externos...
programei nas regras para somente eu entrar e fazer manutenção...
existe algum programa que possa usar para dar uma checada extra no sistema...
100% de proteção não existe...
Cara so por log nao tem como vc ter a minima certeza de que foi invadido ou nao, pois tem como mudar os logs ao invadir ae bau bau, seguinte como vc faz o controle de usuarios?? as senhas que dizem que tem sao de usuarios seus do provedor ou usuarios do servidor?tem algum detector de intrusão?? seus programas estao nas ultimas versoes??Tem um servidor de log separado que faz backup do logs e grava em um cd ou em algum dispositivo removivel?
Se alguma dessas respostas foi nao, vc pode ter sido invadido e nem saber, provavelmente antes de invasao existem muitos portscans e atividades estranhas, entao da uma olhada se salvar os logs antigos se algo ocorreu.
Espero ter te ajudado e nao ter te desesperado mais, qq ajuda estamos ae.
falows
Servidor Invadido...será?
cara ... uma idéia é vc implementar um versionamento do /etc da tua máquina de serviços ... agora assim, isso eh pra quando ela estiver rodando legal e vc tenha certeza absoluta de que ninguém invadiu tua máquina ... aí, vc pode programar para de 6 em 6 ou 12 em 12 horas mandar um e-mail para vc mostrando o q foi alterado no /etc ... sei lah .. se alguém invadir tenho quase CERTEZA de que alguma coisa vai mudar no /etc ... de repente vc pode também colocar em outro diretório ... sei lah ... apagar o rastro disso eu acho mais difícil.
Agora como ruyneto bem falou .. conferir apenas log's .. isso num pode te dar uma certeza muito grande de nada!
Valew.
Servidor Invadido...será?
Olha, algo que é fácil e que você pode estar utilizando para ver a "permeabilidade" do seu sistema é o nessus. Dá uma olhada e conte-nos os resultados.
Um abraço!