Olá a todos. Bom, resumindo a história pra quem acompanhou... fiz uma vasculhada no micro antes de formatar pra ver se achava a causa da invasão. De fato, acredito que tudo começou mesmo no mambo. O cara que invadiu apagou os logs, então estou trabalhando só com hipóteses, mas o que estava me deixando intrigado era como ele conseguiu entrar na máquina com minha senha de root sendo que apenas o ssh tem a porta aberta para conexão e, nesse, eu tinha tirado o acesso via root. Por fim descobr: o cara deixou registrado no bash_history os comandos. Vi que, em primeiro lugar, ele baixou um sshd_conf com o wget de um site e substituiu pelo meu. Nesse sshd, ele abre o acesso para o root novamente.. logo depois, ele muda o meu firewall e abre para que a porta do ssh seja aberta pra qualquer ip (eu bloqueava para acesso somente ao meu).. logo em seguida, ele muda a permissão do passwd (isso eu não entendi pra que) e cria um novo usuário para acessar o sistema.. Ele deixou pra trás também um arquivo com o nome Grupos com três linhas em java script redirecionando pra um site da net.. ainda vou verificar o que são esses sites...
Agora mais dúvidas.. :-).. nunca tinha me atentado há uma dica dada em uma das respostas: o meu OUTPUT de fato está aberto.. pensei que se me preocupase com a entrada de pacotes, a saída era indiferente, mas não sabia que podia se fazer uma conexão reversa.. agora preciso montar novas regras para o OUTPUT da máquina e preciso da ajuda de vocês... A dúvida é a seguinte: se abro, por exemplo, a porta 80 no INPUT, eu sei que a resposta pode sair pelas portas acima da 1024 do OUTPUT certo? OU seja, as portas de entrada não necessariamente batem com as portas de saída.. como, então, eu vou saber quais as portas eu posso deixar abertas no OUTPUT sem que a máquina seja comprometida? Por enquanto é isso... Grato a todos que já ajudaram e a todos que hão de ajudar.. :-) Um abraço, Daniel
