[Ubuntu-BR] Fw: [AJUDA URGENTE] Problema com invasão em meu site!
roberval.sena em gmail.com
roberval.sena em gmail.com
Quinta Setembro 16 01:06:09 UTC 2010
oi ricardo,
então vc tá certo, e cada um tem que ver como configurar o seu.
mas nesse caso... que ele tá sofrendo ataque sério, parece que é preciso
tomar uma atitude rápido,
por isso eu separaria o server do apache, de todo o resto... e fecharia
tudo. tudo mesmo exceto a porta 80 óbvio...
ligava todos os logs, atualizava tudo, e ficava de olho.
claro.. as páginas.. scripts ou php seriam um caso a parte.. teria que
saber se essa parte está 100% OK..
e o básico.. é bem comum ser um caso interno... eu restringira tudo o
que é acesso e senha...
depois do fogo ter passado... aplicaria tudo oque você listou abaixo..
mas veja, cada um tem uma maneira de trabalhar... acredito que muitos
até bemmmm melhores,
[]s
Ricardo Stock wrote:
> SalVe Sena
>
> então, voce falou em fechar tudo, voce não pode fechar tudo, deve-se fechar
> as portas baixas, mas mesmo assim algumas devem ficar abertas no firewall e
> não na maquinas, com exessão
>
> veja mu caso
>
> meu ip real 000.000.000.000
> firewall
> roteador
> nat
>
> porta 53 DNS -> 192.168.0.x maquina de DNS
> porta 80 -> 192.168.0.Y server apache (aplicações)
> porta 25 /110 -> 192.168.0.Z -> servidor de email
>
> só passa isso, mas as portas altas, estão abertas, lembre-se que o navegador
> cria uma conexão com porta alta, aleatória para acessar paginas... por isto
> que não se podem fechar as portas altas.
>
> outra dica se tem SQL 1433 ou mysql 3306 ou qualqur outra coisa padrão, mude
> as portas de entrada, um exemplo, nenhum cliente meu acessa mysql
> externamente, mais eu sim, como, conecto em uma porta alta tipo 15000 e faço
> uma nat para 3306, e assim que outros serviços.
>
> Quanto ao dns, por segurança, deixe em outra maquina, se invadirem, será uma
> maquina oca :-)
>
> eu to pensando ate em aprender a mexer em ambiente grafico, e tentar fazer
> tudo com maquina virtual, DATACENTER te vende maquina virtual.
>
> Quanto aos ataques que o amigo disse, será que são mesmo ataques.....
>
>
> Ricardo Stock
> ricardostock em bol.com.br
> Skype: ricardostock - LinuxUser 243128.
>
> ----- Original Message -----
> From: <roberval.sena em gmail.com>
> To: "Lista de discussão do LoCoTeam Brasileiro" <ubuntu-br em lists.ubuntu.com>
> Sent: Tuesday, September 14, 2010 11:36 PM
> Subject: Re: [Ubuntu-BR] Fw: [AJUDA URGENTE] Problema com invasão em meu
> site!
>
>
> salve ricado,
>
> ué? ele tem server de dns? e....
> na mesma máquina?
>
> interessante...
>
> bom, se eu estivesse sofrendo ataques, cortaria tudo o que é serviço
> imediatamente, talvez separaria em outras máquinas, se precisasse te-las
> funcionando.
> acho que fica até mais fácil rastrear o invasor...
>
> []s
>
>
> Ricardo Stock wrote:
>
>>>> eu fecharia absolutamente tudo, (FTP, DNS, etc, SSH só para os IPs que
>>>> interessam por exemplo) e deixaria só o apache aberto... o LOGando
>>>> tudo..
>>>>
>>>>
>> Se vc fechar 53 DNS o bind não atualiza e com isso vc fica fora do ar...
>> vc
>> deve engaiolar o bind, isso sim
>>
>>
>> Ricardo Stock
>> ricardostock em bol.com.br
>> Skype: ricardostock - LinuxUser 243128.
>>
>> ----- Original Message -----
>> From: <roberval.sena em gmail.com>
>> To: "Lista de discussão do LoCoTeam Brasileiro"
>> <ubuntu-br em lists.ubuntu.com>
>> Sent: Tuesday, September 14, 2010 9:09 PM
>> Subject: Re: [Ubuntu-BR] [AJUDA URGENTE] Problema com invasão em meu site!
>>
>>
>> rapaizzzz,
>>
>> Ruin isso hein?
>> Deixa eu perguntar, você tem certeza que foi invasão né? não é pau no
>> seu equipamento não ? ou do software?
>>
>> bom, é difícil dar dicas sem conhecer o seu sistema, e ainda discutir
>> ele na lista pode ser tão perigoso quanto!
>> mas, se faça as seguintes perguntas, isso pode elucidar e, te dar idéias:
>>
>> 1) é uma aplicação feita por vocês mesmos? ou é um programa já de uso
>> no mercado? se for um programa de renome, pega a versão mais nova...
>> 2) o server é ubuntu mesmo? como tá o firewall?
>> 3) como tá a distribuição de senhas? as vezes um integrante da equipe,
>> que tenha acesso, pode estar fazendo uma piada com a turma... :s
>> 4) está armazenado em um hosting pago que já apresenta uma segurança já
>> fornecida pela própria empresa, ou ae na faculade mesmo onde uma migo
>> teve que fazer?
>> 5) nunca se esqueça das senhas *fortes*...
>>
>>
>>
>> agora, embora exista mais coisas para se prestar atenção, acho que com
>> estas dicas, você pode ver onde estão os pontos fracos...
>> tem que correr atras e eliminá-los... um por um... e dá trabalho..
>>
>> pela pouca informação que vc forneceu... isso é oque me ocorre agora..
>>
>> []s
>>
>>
>>
>> Mauro Risonho de Paula Assumpção wrote:
>>
>>
>>> Você deve contratar um pentester para ver as falhas e se há possibilidade
>>> de
>>> invasão.
>>>
>>> Dá para resolver o "pós" invasão, mas preventivo é melhor que corretivo.
>>> No
>>> seu caso foi corretivo
>>>
>>> Caso tenha interesse, veja em PVT comigo
>>>
>>> Em 14 de setembro de 2010 18:31, Fábio Magnoni
>>> <fabiohmagnoni em gmail.com>escreveu:
>>>
>>>
>>>
>>>
>>>> Olá pessoal,
>>>>
>>>> Hoje estou sofrendo ataques ao site do evento que estou organizando. Já
>>>> tentaram invadir o banco de dados, alterar senhas administrativas
>>>> nossas,
>>>> bugaram algumas coisas, o site foi derrubado por alguns momentos, até
>>>> recolocá-lo novamente no ar.
>>>>
>>>> Alguém poderia ajudar com algum método que eu coloque para minimizar
>>>> esses
>>>> ataques?
>>>>
>>>>
>>>> Obrigado desde já.
>>>> --
>>>> Fábio Réa
>>>> Eng. de Computação - PUC-Campinas 2010
>>>> Diretor de Recursos Humanos - Associação Informatica Junior -
>>>> PUC-Campinas
>>>> www.infojunior.com.br
>>>> --
>>>> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>>>>
>>>> Lista de discussão Ubuntu Brasil
>>>> Histórico, descadastramento e outras opções:
>>>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>>>>
>>>>
>>>>
>>>>
>>
>>
>
>
>
More information about the ubuntu-br
mailing list