31-8-01 - Boletim ViaLinuxis em sintonia com o Fórum |
Invasão? |
O comando pstree fornece a árvore dos processos no momento: ele me deu uma boa dica do que acontecia em minha máquina. Pude verificar (numa das situações) que estava ocorrendo um "updatedb" que faz o update da base de dados para o comando "locate". Sendo que o updatedb era disparado pelo anacron. Agradeço a participação do lightwave que apresenta um caminho para se lidar com invasões.
Como saber se meu micro está sendo invadido?
Essa é uma pergunta muito vaga, sei que é o mesmo que mantém esse fórum, mas tudo bem, que sirva para outras pessoas, primeiro você tem que conhecer muito bem o sistema que trabalha, os protocolos que usa, os serviços que executa, para então saber se há vestígio de invasão, a não ser que o invasor te ligue dizendo que invadiu teu computador, algo que você tem que ter muito cuidado é com seu /var/log, faça backups diário dele, e monitore o bem, veja se houve alterações nele que foi outro usuário ou serviço que gravou num arquivo de logo, que não seja o serviço que o usa, isso para atesta a validade de seus arquivos de log, depois veja os próprios logs, veja os sinais estranhos que existe, quem usou tal serviços, o que acessou o que, e assim por diante, o trabalho de detecção de invsação é um trabalho de perícia e dissecação do seus sistema, ferramentas como rootkit pode te ajudar no serviço, cuidado com os KLM (kernel loadable modules), eles são nossa pior ameaça no mundo linux, pior do que os virus do windows, há cuide sempre de seus usuários mesmo de sistema, mantenha só os usuários que são necessário e os impessa de ficar passeando no seu sistema, esses usuários são os mais usados para travessias, enfim, notitore suas conexões de rede, e crie boas regras com o ipchais e feche tudo que não for usar todos os serviços, deixe só o que você usa, por exemplo, pra que vc deixa o serviço finger executando se você não usa, e é aí que alguém pega muita informação de sua máquina, bem é só isso, mas se você queiser informações mais específicas, poste outra mensagem.
Oi lightwave, obrigado pela resposta, mas esta pergunta estará vinculada à um boletim mais específico. Já adiantando, vamos aos fatos: após instalar o debian e não fechar as portas (por acreditar que o debian é seguro) vi meu winchester piscando sem que houvesse motivo aparente. Dei o comando "top" e vi que era o "nobody" executando "find". O que você faria para comprovar se estava ou não havendo invasão? Que comandos usaria? Eu usei um comando simples que me resolveu a indagação e estarei compartilhando na semana que vem. Tem alguma idéia? Jorge Kinoshita.
Hum, deveria ser ele mesmo, mas tudo bem, bem, primeiro eu olharia o como estava minhas conexões com a internet, ou seja quem estava acessando meu computador, nesse caso, usaria o iptraf que está nos CD's do debian, para ver quem estava conectado, com essas informações já teria os ips das máquinas conectadas no memento, segundo, usaria o ngrep, para dar uma olhada para ver se as saída do find estava sendo enviada para outra máquina, find aliado com o less ou more torna se uma ferramenta perigosa, tormara que você tenha habilitado as senhas ocultas e o md5, espero também que você não tenha scripts de backup guardado em algum lugar, pois a primeira coisa que vai ser procurada é no /etc/cronttab, cron.daily e os outros para saber se você tem scripts de backups lá, pois depois que os sinais estão gravados o ivasor vai procurar seus arquivos de logs e depois o backup deles para alterá-los, portanto um concelho, NÃO DEIXE SEUS SCRIPTS DE BACKUP no cronttab, grave os em um arquivo de loopback criptografado de preferência com o serpentine ou o des, que são mais difíceis de quebrar, segundo, quarde o em um lugar fora do alcance de acessos os meus scripts de alta segurança fica em um loopback criptgrafado em serpentine gravados no cd o arquivo, quando vou fazer o backup, ponho o dicos, acesso os scripts via loop e só então executo o backup, sempre deixo minhas partições de backup desmontadas, e não as deixo no fstab. Bem essa é minha solução, para os casos mais simples de varreguda no meu sistema. Outra coisa muito importante, se você instalou seções extras de man pages ou info, o cron irá idexar esses diretórios para saber onde elas estão, sempre é feita uma verredua no seus sistema prucurandos esses arquivos e indexandos-o para acessar através do http://localhost/doc, normalmente o servidor web faz isso, mas não sei no teu caso em que máquina você instalou; Outra coisa use o tcpquota para impedir que certos usuários possa abrir seções tcp sem sua altorização, E USE IPCHAINS PARA fechar tudo quanto é porta que você não use, e tire aquele monte de serviços do inetd que você não usa, deixe só o necessário, bem é isso, estou trabalhando com as informações que você me passou, espero que não seja uma invasão, mas vamos ver quando você nos der detalhes disso tudo;
Estava olhando aqui no meu top e vi que o usário do apache é o www-data, é melhor você dá uma olhada em seu cronttab e rastrear o programa que usa o usário nodata e olhe no seu arquivos de log's, agora sim, isso me parece muito estranho, por via das dúvidas desabilite telnet rlogin e outros serviços de rede que você não usa, olhe em sue /etc/modules e /etc/modules.conf e /etc/modutils/aliases e veja se tem módulo estranho, veja também no arch se há algo estranho lá, veja também /etc/init.d/ e /etc/rc1.d e rc2.d se tem chamdas scripts estranhos lá, veja também todas as datas dos arquivos citados acima verifique se tem alguma com data deiferente da data da instalção, se você não tiver backups da sua instalação é melhor pensar em uma instalação novamente, se você fez um backup completo do sistema no ínicio da instalação é hora de restaurar os arquivos modificados, quidado com klm's eles rodam com privilégios especiais do kernel que nem o root tem e você tem que encontra-los e els não aparece com find, top, ntop ou outras coisas a mais, se possível nos dê mais detalhes sobre isso;
Obrigadão pelas valiosas dicas. Vou verificar melhor várias das coisas que você menciona. Sendo mais minuncioso no que ocorreu: na hora que vi o nobody dando find levei um susto e rebootei o micro -naquele momento eu estava no telefone com um colega meu e não tinha muito que pensar-; fechei um monte de portas e depois de um certo tempo estava de novo o nobody com o find. Daí fui averiguar com netstat as conexões no momento. Não tinha nada mas até cheguei a desconectar o cabo da rede ... Daí eu fiquei com uma pulga atrás da orelha: qual processo disparou o find? E depois de averiguar isso fiquei mais tranquilo; pretendo publicar tudo isso em um boletim futuro, mas o que você escreveu é muito interessante e estarei estudando melhor; já adiantando tem tudo a haver com o cron. Até mais.
30-08-01 mof | Tenho uma conta, usuário comum, em um servidor NOVELL, com acesso em um determinado contexto. Instalei o Linux RH 7 como cliente, enxergo todos os servidore |
30-08-01 willian_r | OLá, alguem poderia me indicar um programa CAD, compatível com o AutoCAD,'E SEMELHANTE, PARA O LINUX |
21-08-01 cassio | [1] o que fazer, quando, apos a instalacao do red hat, ao reiniciar o computador, aparecer, ao inves de LILO:, apenas L (e o sistema fica travado). apreciaria a |
30-08-01 mof |
|