Registro de novos usuários desabilitado por tempo indeterminado.
O Fórum irá passar por mudanças nos próximos meses começando pela inativação de usuários que não participam ou contribuem com conteúdo.

Acompanhe em https://www.facebook.com/groups/endian.firewall/

[Ajuda] Servidor Cent OS invadido

Aqui será o lugar para debate de alguns sistemas operacionais do GNU/Linux.
joel.pinheiro.313
Newbie
Newbie
Mensagens: 4
Registrado em: 05 Out 2013 21:16
Sexo: Selecionar - Selecionar
Status: Offline

[Ajuda] Servidor Cent OS invadido

Mensagem por joel.pinheiro.313 » 05 Out 2013 21:23

Prezados, Boa Noite,

Tenho uma vps com cpanel e recente um hacker invadiu o meu S.O e inseriu em todas as contas uma index.html falsa, sendo necessário eu efetuar um restore de todas as contas.

Infelizmente ele deletou vários arquivos que estavam em /var/log/, queria saber o que posso tentar ver pra encontrar algum "rastro" que ele possa ter deixado.

Obrigado,
Editado pela última vez por joel.pinheiro.313 em 05 Out 2013 22:53, em um total de 1 vez.



Avatar do usuário
Elton
Administrator
Administrator
Mensagens: 1258
Registrado em: 10 Jun 2013 12:44
Sexo: Selecionar - Selecionar
Status: Offline

Re:[Ajuda] Servidor Cent OS invadido

Mensagem por Elton » 06 Out 2013 13:36

ishi pelo logs era a melhor forma para verificar em quais serviços ele mecheu!

tenta ver o history para verificar se mostra os comandos que o cara fez!!

mais os logs seriam a melhor forma!!
"Colaborar atrai amigos, competir atrai inimigos ..."

edjanio
Newbie
Newbie
Mensagens: 6
Registrado em: 04 Out 2013 16:41
Sexo: Selecionar - Selecionar
Status: Offline

Re:[Ajuda] Servidor Cent OS invadido

Mensagem por edjanio » 06 Out 2013 18:51

    Boa noite, muito serio o que aconteceu com você, mais para evitar estes e outros ataques sugiro que você faça uma melhor implementação de segurança no seu server, quem te garante que o cara já não vinha colhendo informações do seu server, e quando você percebeu? faça um HARDENING, no servidor para elevar o nível da segurança, um bom sistema de logs, com backup remoto dos logs do sistema, você pode substituir o syslog pelo syslog-ng, não esqueça de instalar o HIDS e uma boa opção é o OSSEC. Sugiro que você também refaça seu server do zero pois uma vez invadido o sistema já esta comprometido e o cara pode voltar.No mais se ele apagou os log´s do sistema aí meu e tentar fazer uma trabalho forense de recuperação destes log´s onde pode demorar um pouco, para você tentar rastrear o meliante.

joel.pinheiro.313
Newbie
Newbie
Mensagens: 4
Registrado em: 05 Out 2013 21:16
Sexo: Selecionar - Selecionar
Status: Offline

Re:[Ajuda] Servidor Cent OS invadido

Mensagem por joel.pinheiro.313 » 07 Out 2013 19:25

Certo, eu alterei a senha de root e depois restaurei todas as contas, deu um certo trabalho mas o santo backup me ajudou..hehe
Rodei um scan no servidor pra remover os vírus das contas e estou subindo um novo servidor pra mandar estas contas para lá.
Valeu galera pela ajuda...

Responder

Voltar para “Sistemas Operacionais”

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 2 visitantes