Invasão Hacker

[maverick_cba]

Olá pessoal, desculpem a demora no retorno. Assim como todos aqui falaram, concordo no fato de que há poucas provas para fazermos um julgamento a respeito do Debian.

Meu amigo acredita-ele que o problema tenha sido algum pacote infectado, mas se pararmos para analizar, nada impede que ele tenha sido hackeado de outra forma.
Alem do mais andei sondando e ele não tem muitas evidências que comprovem que a invasão tenha sido causada por pacotes baixados pelo Fonte oficial do Debian. Como eu disse isso foi uma expressão dele.

Estou voltando atrás na minha decisão e acho que abandonar o debian só por causa desse fato (mal explicado) não quer dizer que ele seja inseguro. Aliás quando decidi usar o debian foi pensando justamente em segurança e praticidade.

Me desculpem se o que falei tenha ofendido alguem, mas como eu disse apenas repassei a notícia para que as pessoas saibam e possam se previnir.

[ruyneto]

Eu acho que seu amigo fez alguma besteira e pra se safar quiz jogar a culpa no debian, não que eu seja defensor de uma distro ou outra ate pq nao uso o debian, mas pelo que leio sei que eles tem uma responsabilidade com segurança e tals e como sempre achava mto dificil de ter acontecido o que seu amigo relatou. Por isso fala pra ele ter mais cuidado antes de ir acusando assim.

falows

[mbyte]

Desde o inicio deste tópico, estou fazendo buscas no google de varias formas sobre o ocorrido, e nada nem parecido encontrei.

[maverick_cba]

Também não encontrei nada na internet a respeito, e alem do mais ele é amante do freebsd.

Acho que não há mais o que falar, invasões vão e vem e muitas delas são causadas por falhas de quem administra tais sistemas. Quando disse que estava com "medo" me referia a um firewall StateFull recem montado por mim e que levei em torno de 15 dias para deixa-lo redondo, daí logo pensei que eu pudesse ser vitma desse ataque tb.

Mas como os colegas falaram e esclareceram, qualquer pacote debian official é rigorosamente testado e checado por bugs. Dái realmente não há porque afirmar que a causa do problema foi um pacote Official infectado.

Mas o que realmente achei estranho foi o fato de o invasor não ter apagado nehum vestígio, o que caracteriza que o "Cracker" (como deve ser chamado e não hacker como postei) foi muito imaturo podemos dizer assim.

[mcm]

Olá pessoal, desculpem a demora no retorno. Assim como todos aqui falaram, concordo no fato de que há poucas provas para fazermos um julgamento a respeito do Debian.

Meu amigo acredita-ele que o problema tenha sido algum pacote infectado, mas se pararmos para analizar, nada impede que ele tenha sido hackeado de outra forma.
Alem do mais andei sondando e ele não tem muitas evidências que comprovem que a invasão tenha sido causada por pacotes baixados pelo Fonte oficial do Debian. Como eu disse isso foi uma expressão dele.

Estou voltando atrás na minha decisão e acho que abandonar o debian só por causa desse fato (mal explicado) não quer dizer que ele seja inseguro. Aliás quando decidi usar o debian foi pensando justamente em segurança e praticidade.

Me desculpem se o que falei tenha ofendido alguem, mas como eu disse apenas repassei a notícia para que as pessoas saibam e possam se previnir.

Cara, sem o menor galho...

Eu não me senti ofendido com nada.

Fico feliz que você concorde que não seria justo condenar o SO. Te convido a instalar o Debian e usá-lo por um tempo, e te garanto que você terá uma ótima impressão.

[DropALL]

Toda distro é segura se bem configurada :P

O que adianta instalar Debian, Slack, TST se não sabe mexer? "O tio do curso de digitação disse que o debean é baum"... nahh :toim: :toim:

Só mais um Conectiva (eca :P) bem configurado a um Debian mal configurado, sorry :twisted:

[mcm]

Não tenha dúvidas...

Mas não levei isso em conta pois o cara conhece Linux e sem dúvida sabe que tem que configurar e saberá o como fazê-lo.

[jweyrich]

E se os mirrors oficiais (ou pelo menos algum deles) tenham sido comprometidos ? Os responsáveis pela segurança, em geral, não publicam o caso. Seria mais um ?
Abraços.

tenho a impressão de que vc esteja confundindo os SO. TODOS os SO de código aberto publicam sistematicamente as vulnerabilidades encontradas e suas correções, às vêzes algumas horas depois destas terem sido descobertas. NENHUM SO de código aberto OMITE/SONEGA informações à comunidade. 6)

engana-se profundamente.

[vonlinkerstain]

Desculpe a ignorancia, mas como se faz uma analise forense?
Achei muitas coisas no google, mas nada referente a isso...

[maverick_cba]

Galera já que o assunto aqui é invasão. Será que alguem se habilita a criar uma artigo sobre boas praticas de segurança em sistemas linux? Independente de Distribuição.

Eu conheço algumas, pois recentemente tive aulas de segurança, porem não conheço todas ou quase todas.

Acho que seria bem interessante.

[Super_Diaulas]

teve um tempo atrás uma invasão em algum mirror do Debian, acho que foi isso, e foram trocados alguns pacotes por outros alterados

será q o teu amigo não baixou uma ISO bichada?
e mesmo assim, foi uma noticia que saiu em tudo que é lugar, se fosse no meu caso, eu teria baixado outra iso ou usaria uma mais velha.

Agora qnt a versão ou data eu não sei, apenas lembrei disso, mas me corrijam se eu estiver errado.

o stefano falou algo sobre isso, mas não sei se é o mesmo caso

[maverick_cba]

Só uma correção, a versão utilizada foi a Debian 3.0 e não a 3.1 como eu disse anteriormente.

Agora outro detralhe, havia outra pessoa que tinha acesso ao servidor e ainda não sabemos se o causador disso foi o bendito pois o mesmo andou instalando alguns pacotes a alguns dias atrás.

O cara deve ter feito besteira.

[vonlinkerstain]

Agora sim a porca torceu o rabo...


Tavendo como é fácil culpar os outros?

[maverick_cba]

Agora sim a porca torceu o rabo...


Tavendo como é fácil culpar os outros?

Verdade! Confesso que fiquei abalado no início, mas agora que os fatos começaram a serem apurados, já estou vendo que esse tipo de problema quase sempre está naquela peça que fica entre a cadeira e o teclado.

Claro que nem todo sistema é 100% seguro, mas o linux nesse caso dá show e não é a toa que é o sistema preferido quando o assunto é segurança.

Aqui vai uns links sobre segurança para quem se interessar:

http://www.linuxdoc.org/HOWTO/Security-HOWTO.html

http://www.linuxdoc.org/LDP/nag/nag.html

Abraços,

[nod3vic3]

Aproveitando a questão de segurança, estou procurando um curso nessa área.

Estive olhando na 4linux, parece que tem alguns bons, porém o patrão achou um pouco longe para fazer então gostaria de saber se alguém tem algum outro pra indicar.

Já criei um tópico sobre isso a alguns dias se quiserem responder ló o link é esse
https://under-linux.org/modules.php?...wtopic&t=33813

Valew

[maverick_cba]

Agora sim a porca torceu o rabo...


Tavendo como é fácil culpar os outros?

Verdade! Confesso que fiquei abalado no início, mas agora que os fatos começaram a serem apurados, já estou vendo que esse tipo de problema quase sempre está naquela peça que fica entre a cadeira e o teclado.

Claro que nem todo sistema é 100% seguro, mas o linux nesse caso dá show e não é a toa que é o sistema preferido quando o assunto é segurança.

Aqui vai um link sobre segurança para quem se interessar:

http://www.tldp.org/HOWTO/Security-HOWTO/

Abraços,

[fozzy]

assim ó...
Ouvi uma coisa a respeito de um bruta force que com o nome do usuario detona e invade.No caso do root acho que ele botou um bruta force.E depois tem mais um programa que quebra a pasta shadow do linux e dai ele pega os password e faz a festa.Por isso meu colega queria mudar o esquema das portas do ssh e colocar ele para escutar em portas altas.
No firewall que montei nao habilitei ainda o ssh...Mas irei habilitar...

Espero ter contribuido...

[vonlinkerstain]

Sobre a segurança do linux eu confesso que fiquei meio abalado esta semana.

O que aconteceu:

Abri o meu ssh pra um cara configurar o meu pabx, e mudei a senha do root para o nome do caboclo.
Logo que ele entrou vi no log que mudaram a senha do root, ele disse que não foi ele, o que aconteceu, Fiquei sem saber a bendita senha do root.
Depois de algumas pesquisas no google, achei um programa que me transformava em root sem a senha (só achei isso pois tinha visto um cara fazer isto em uma palestra, e por ele mesmo disse que essa era uma falha muuuuiito antiga do kernel do linux) (isso foi na primeira conisli).
O que eu fiz, sai a procurar e achei um código destes.
Testei no meu slack 9 (e como nao manjo porra nenhuma de C) o código não funcionou..

Parabin paraben parabun,
Depois de alguns comentarios no código consegui compilá-lo.
Rodei o carinha e pronto, eu era o root!!!! Pasmem, é um código de no máximo 30 linhas.
O nosso colega Jim testou ele hoje no RedHat, mas não funcionou.
no slack funfa. Sei que no kernel 2.6 ele não roda, mas também ouvi o mesmo carinha dizendo que no linux existem (ainda) muitas falhas de seguraça triviais quanto esta e que elas continuam no kernel 2.6, ai eu já não sei se é flame ou se é verdade, mas eu me assustei.

[Jim]

realmente... num redhat que eu tinha nao funfou.. kernel 2.4

[maverick_cba]

Putzzz... será então que tenha sido isso que aconteceu com meu amigo? Mas para que esse programa funcione é necessário que esteja na máquina a ser invadida?

Não entendi.

Mas pelo menos atualizo sempre o kernel dos meus servidores, que no meu caso estou usando o 2.6.

Agora imaginem o sudo, ele pega e assume os direitos do root sem pedir senha nem nada. Daí eu pergunto, como ele faz isso? Que deve existir um modo de efetuar algo como root deve have, agora deve estar muito bem escondido senão virava bagunça.