Fui atacado

[silmar]

Fui atacado por opr motivos de pressa deixei um servidor na intrnet sem nenhum firewall, pois estava com tanta pressa e sobre tantas pressão que depois de fazer todo os serviços e colocado tudo no ar esqueci de colocar o firewall no ar.

Agora vem o lance um pulha entrou no server e não consigo fazer shutdown toda vez que tento ele envia uma mensagem de fuck you

alguem ja foi penalizado assim ?
Como posso fazer essa parte funcionar ? como posso aprender .. a arrumar essas mrdas feitas.

Por exemplo eles tem um sistema que funciona via ssh e ou telnet e isso esta fuincionado normal e junto tem o samba que tambem esta funcionando normal

Mas o meu medo é de ter algo que possa ser tipo uma bomba relógio e fuder a qualquer momento..
alguem daqui pode me ajudar a arruma essa situação ? o linux é Red Hat 7.3

[marceloedrei]

Cara pra ver tudo isso precisaria ser um especialista mesmo mas.....vai algumas dicas

rpm -V pacote "verifica se foi alterado alguma coisa no pacote"

verifique se nao foi criado nenhum alias, o que deve ter ocorrido no caso do halt, instala um chrootkit para verificar se existe algum rootkit, verifica o crontab, veja as portas com o nmap.....

eh isso ai.....o basico....



Ate mais...

[ocire]

amigo ... desative os serviços que vc não use como pop, smtp e outros .. de uma olhada no /var/log/messages as vezes tem algum rastro que eles deixam por la ...
De uma olhada na net pelo para configurar iptables fechando ping da morte, port scanner e outros tem varias dicas . Não sou muito especialista nesta area, mas com certeza a galera te ajudara, espero ter contribuiado para algo. BLZ

[MAJOR]

Silmar , já era, se realmente ele entrou em seu sistema como podemos ver, o melhor a ser feito é uma reinstalação do sistema, pois a essas alturas é provavel que ele ja tenha colocado diversos backorifices, tenha mudado contas, senhas etc...

Ou seja seu sistema não sera confiavel.


Reinstale irmão...

:cry:

[silmar]

Eu peguei os pacotes que ele usou para fazer a inva~sao após ter entrado através de um usuario comum porque tudo isso ele fez com esse usuariio

[silmar]

ops esqueci de dizer aqueles que quiserem dar uma olhada .. pode me pedir mandando o e-mail porque é 10mb e um outro de 600k

[MAJOR]

Opa silmar manda ai pra mim ver oq o cara fez


[email protected]


Abracos,

mas mesmo assim manow , ainda acho legal vc dar uma olhada nos logs do sistema e para entender oq aconteceu e depois entao reinstalar o sistema.


abracos

no aguardo.
:wink:

[smvda]

È melhor vc verificar a maquina toda ou reinstalar o sistema pois eu não invadiria uma maquina para colocar a mensagem "fuck you " na tela ........ eu deixareia o sistema inteiro aberto para entrar denovo, colocaria backdoor + um virus para detonar de vez ..

[MAJOR]

Virus?

qual virus vc colocaria smvda ?



:?:

[Gnuser]

Virus?

qual virus vc colocaria smvda ?



:?:

AUHuahauhauhauhauahuahuahuahuahuahuahuah BOa!

[smvda]

é isso ai pessoal parece brincadeira mas existe virus para linux sim ,.... se alguem de vcs trabalhasse com segurança saberia, ele não é bem um virus como os de windows ... mas uma vez como root se vc executar ele ou rodar o mesmo ele busca e altera todos os binarios do seu sistema isso faz que um simples comando ls fique pendurado como "zumbi" seu sistema para de funcionar ,

Viu "Gnuser" antes de dar risada é bom estudar um pouquinho !

[smvda]

Virus?

qual virus vc colocaria smvda ?

não tenho o nome dele pois mudei o nome do binario .... mas vou ver se acho o nome ...

não seria bem um virus mas sim um programa malicioso, o norton detecta ele como virus ....


Valeu





:?:

[smvda]

para vcs não pensarem que é besteira da uma olhada no link

http://securityresponse.symantec.com....jac.8759.html

la tem tudo o que eu escrevi ...... é este carinha ai que eu tenho ... ja testei ele .... destroi mesmo o sistema .... fica inutilizavel ....


Valeu

[Gnuser]

para vcs não pensarem que é besteira da uma olhada no link

http://securityresponse.symantec.com....jac.8759.html

la tem tudo o que eu escrevi ...... é este carinha ai que eu tenho ... ja testei ele .... destroi mesmo o sistema .... fica inutilizavel ....


Valeu

Cara como uma vez um colega disse aqui: Ainda bem que Deus não deu asas para cobra!!!

Mo galerinha do mal vcs !!!!
AHUHAUHAUHAUHUAhuhsuahsuahuahuashasuh

[Gnuser]

Viu "Gnuser" antes de dar risada é bom estudar um pouquinho !

Er calma awe, desculpa se eu ofendi sua sabedoria, é que achei massa o esquema do virus awe!
:wink:

[guardian_metal]

Se possível manda pra mim o que o cara fez: [email protected]

[smvda]

o cara usou um exploit conhecido do sendmail e como o sendmail roda como root bingo entrou no server depois ele jogou o virus e executou .. pronto sefoi o server, só isso ele fez ... o cleinte não tinha contrato de atualização então sendmail estava bugado ......... coisa simples

[smvda]

Viu "Gnuser" antes de dar risada é bom estudar um pouquinho !

Er calma awe, desculpa se eu ofendi sua sabedoria, é que achei massa o esquema do virus awe!
:wink:

Desculpe Gnuser .. é que fiquei um pouco bravo hehehe perdão

[Aquini]

Se puder enviar os logs e tudo mais que achou...
[email protected]

fico grato em poder auxiliar

[gmlinux]

sorte sua que o cara tava querendo aparecer...