[Ubuntu-BR] Socorro! Ataque!
Rodrigo Escobar (diguin)
diguin em superonda.com.br
Sexta Fevereiro 10 23:52:24 UTC 2006
Bom Jose Geraldo..
eu entrei hoje na lista por indicação de um amigo meu envolvido com o ubuntu
e pretendo ajudar quem precisar.. eu ja atuei na area de security e continuo
pesquisando muita coisa sobre security e me atualizando sempre.. pelas
poucas informacoes que voce me deu e que eu consegui ler la na lista.. voce
provavelmente teve sua maquina "hacked".. o chkrootkit nao ajuda muito pois
ele so pega valores setados como automatico se eh que voce me entende.. ele
pega os padroes dos rootkit's e procura por esses padroes.. ja testei ele e
nao gostei muito por esse motivo..
agora eu gostei muito do rkhunter.. esse sim.. alem de ter mais opcoes sobre
a procura.. ele compara os md5 acho que chk tambem faz isso e se tiver algum
trojanado ou alguma coisa do tipo ele indica.. o link do rkhunter eh o
seguinte:
http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz
alem dele te mostrar a comparacao md5... ele procura por modificacoes em
diretorios.. links simbolicos e da informacoes sobre todas modificacoes
feitas em sua estrutura de arquivos.. eu consigo identificar facilmente
essas falhas.. ou entao quando a maquina provavelmente foi ownada.. mas
infelizmente explicando acho que eh meio dificil de passar a experiencia..
mas no que eu puder ajudar eu vou tentar..
no mais.. seria interessante voce passar o rkhunter.. verificar os md5 dos
binarios.. e se tiver algum arquivo que talvez voce nao consiga remover..
mais pra frente eu posso te ajudar com outras dicas..
Att,
Rodrigo Escobar.
----- Original Message -----
From: "José Geraldo Gouvêa" <jggouvea em gmail.com>
To: "Lista de discussão do LoCoTeam Brasileiro" <ubuntu-br em lists.ubuntu.com>
Sent: Friday, February 10, 2006 9:22 PM
Subject: Re: [Ubuntu-BR] Socorro! Ataque!
> Em Ter, 2006-02-07 às 00:56 -0200, Adriano Rafael Gomes escreveu:
>
> > José, alguém deve estar fazendo um portscan, por exemplo com o nmap, no
> > teu micro. Nas opções avançadas do firestarter marque para descartar
> > silenciosamente os pacotes rejeitados, isso atrapalha um pouco quem
> > estiver te escaneando. Volta e meia vai aparecer alguém fazendo um
> > portscan no teu micro.
>
> Principalmente agora que tenho IP fixo. Estou começando a descobrir que
> um IP dinamico é o melhor dos mundos... ;-)
>
> > Quanto ao chkrootkit e aos hidden processes, leia [1]esta thread.
> > Provavelmente, não tem com que te preocupar, mas *pode* haver problemas,
> > embora em menor probabilidade.
> >
> > [1]http://lists.debian.org/debian-security/2003/10/msg00204.html
>
> Traduzindo para quem não sabe inglês e possa vir a ter o mesmo problema:
>
> O chkrootkit compara os dados do "ps" com os processos existentes em
> "/proc". Se algum(ns) processo(s) for(em) iniciado(s) entre o momento
> em que ele lê o primeiro dado e o segundo, este(s) processo(s) será(ão)
> reportados como suspeitos.
>
> Para tirar a dúvida, rode de novo o chkrootkit.
>
>
> --
> José Geraldo Gouvêa <jggouvea em gmail.com>
>
>
>
----------------------------------------------------------------------------
----
--
ubuntu-br mailing list
ubuntu-br em lists.ubuntu.com
www.ubuntu-br.org
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
More information about the ubuntu-br
mailing list