Em Thu, 8 Feb 2007 17:10:07 -0200 "Marcelo/Porks" <[EMAIL PROTECTED]> escreveu:
> Digo, teve uma atividade registrada no dia 5 e a próxima > apenas no dia 8 (e com mensagem dizendo que o sistema estava > bootando). Isso é normal? não. Nem um pouco. > Minha preocupação seria de alguém que possa ter ganhado acesso ao > sistema, feito algo e depois apagado as informações do > /var/log/messages > > Isso é possível? Ou eu estou viajando? sim, é possível. Inclusive, nêste caso em particular eu temeria MUITO estar "owned". Sugestões FORTES: remova êsse servidor da produção, para uma análise mais acurada No colocar o outro, vc tem que entender que, se for igual, a vulnerabilidade AINDA EXISTE. Vá até a área de segurança do FreeBSD e leia qualquer boletim recente (ou não) que vc possa ter perdido, a respeito de qualquer problema de segurança da sua versão de FreeBSD E, se a sua versão não for a mais atual, INSTALE um de versão mais recente. Troque o firewall - se é ipfw, mude pra PF, por exemplo. Ou rearranje regras. Depois é quase simples: algumas semanas de análises forenses (risos). Comece com o rootkit; afinal, vc tem que começar com alguma coisa. Seria (eventualmente) adequado vc colocar um sniffer (wireshark) pra analisar o que é que está vindo (ou saindo) pelo seu link. E, no novo servidor.. bem.. vc terá que pensar MAIS em segurança.. IDS, HIDS.. essas coisas. divirta-se.. -- flames > /dev/null saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free ou locupletamo-nos todos ou instaure-se a moralidade (barão de itararé) ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
