Complementando pouca coisa ... At 10:28 21/03/2002 -0300, you wrote:
- Tramontina >Depois disso, imediatamente exclui essas 2 pastas e tentei reinstalar o >Sistema (Red Hat 7.1) no modo de "recuperacao", so q nao tive sucesso. - Carvalho > Voc� agiu mal. > Devia ter mantido a m�quina por mais tempo assim e monitorar > remotamente a atividade. > Basicamente vc destruiu provas e avisou os invasores que foram > descobertos. Voc� deveria ter no m�nimo deixado como est�, se eles j� invadiram, esquece ... o que eles queriam fazer j� est� feito ... o m�ximo que eles poderiam fazer � usar sua m�quina como cobaia ou soldado. Quando ocorrer isso, deixe os caras brincarem ... salve tudo o que for importante para vc (apenas configura��es). Procure as portas que eles est�o usando ... os softwares usados ... com isso, vc vai at� adquirir uma cultura "melhor". - Tramontina >>Mais umas perguntas: >>- Tem como eu descobrir de onde veio esssa invasao? Que arkivos posso ver >>isso? - Carvalho > Logs, logs e mais logs. > E um tcpdump esperto. At� tem como, mas geralmente eles usam Spoof (o qual mascara o IP real) - Tramontina >>- Existe algum comando e/ou arkivo p/ eu verificar quais portas do meu >>servidor estao abertas e fechadas? Suspeito q esse infeliz desse hacker >>abriu algumas portas e fechou outras, dentre elas, a 22 (SSH) - Carvalho > netstat -anvpt Outra coisa que pode ser usada � o nmap nmap 127.0.0.1 nmap IP_interno nmap IP_externo Passei por isso num antigo servidor de Proxy que instalei aqui na Empresa, Fiz praticamente o que vc fez, s� depois de eliminar todos os arquivos �til, foi que descobri que seria melhor analisar antes de destruir ... "Se vc tem um problema resolva ele, n�o o ignore!" Quando foi salvar as minhas configura��es para poder refazer o servidor, notei algumas mensagens de ERRO, relacionados a problemas estranhos. Foi ent�o que percebi que seria mais �til guardalos ... O Hacker que passou aqui, instalou um novo servidor de SSH na porta 2020, se eu tivesse "analisado" as coisas antes, poderia no m�nimo dar um DENY -L na PORTA 2020 e tentar pegar o "vil�o" no pr�ximo acesso. Boa Sorte ! Atenciosamente, Eduardo Mota.'. ______________________________________________ WebSite: http://www.emota.com.br WebMaster EMota - UIN: 2731255 E-Mail: [EMAIL PROTECTED] Assinantes em 21/03/2002: 2245 Mensagens recebidas desde 07/01/1999: 159096 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
