No Linux, para encontrar um rastro de uma invasão, chegando assim ao invasor, é necessário usar o bom senso, pensando como o invasor.

O que você faria se estivesse com um sistema operacional alheio na mãos? Óbvio, você faria de tudo para não perder o acesso ao sistema, instalando algum tipo de backdoor (descreverei sobre) - ou até mesmo adicionaria um usuário no sistema com privilégios de root. Achar uma backdoor no sistema não é um bicho-de-sete-cabeças.

Mas mesmo sabendo disso, é essencial que você conheça seu sistema, saiba se ele tem dados de datas de execuções de arquivos, quais são as portas abertas, etc.

Para ver todas as portas abertas no sistema, digite o comando abaixo:

# lsof -i

Serão listadas todas as portas que estão sendo usadas. Veja se encontra alguma porta estranha.

Procurar por rastros no /etc/passwd é obrigatório. Adicionar usuários no /etc/passwd é bem a cara de muitos invasores. Portanto, não perca tempo. Tenha em mente todos os usuários cadastrados no sistema e entre com o comando abaixo:

# grep ":0:0:" /etc/passwd

Serão listados os usuários com permissão total no sistema. Para obter mais detalhes é interessante abrir este arquivo (passwd) e dar uma bela olhada. Veja se todos os usuários conferem. Se encontrar algo de estranho, examine.

Como examinar? Use arquivos de log do sistema - o primeiro arquivo de log a ser verificado é o bash_history, que conterá os 1000 últimos comandos digitados por algum usuário. Por exemplo, no caso de um usuário root, o arquivo bash_history se encontrará na pasta /root. Editando-o com o seu editor de textos preferido, você terá uma pequena noção do que foi feito em seu sistema e, assim, tentará corrigir. Se mesmo assim o log bash_history não trouxer informação alguma, utilize o comando:

# ps -aef | grep root

O comando acima procurará por processos executados pelo usuário root, que no caso poderão ser modificados por qualquer outro usuário. Basta verificar se entre a lista não há algum script suspeito sendo executado. Com certeza, este passo lhe trará algumas informações.

Para melhor segurança do seu Linux é bom sempre ter um firewall ou até mesmo um scanner de segurança.

Este artigo foi meu primeiro postado no site, por isso o fiz voltado para os usuários que estão começando no Linux, para que possam entender alguns princípios de segurança em sistemas Linux.

Minha próxima postagem será sobre como recuperar arquivos excluídos - útil para os casos em que alguém deleta seus arquivos durante uma invasão -, e escreverei assuntos sempre voltados para segurança de sistemas Linux.

[1] Comentário enviado por hellnux em 01/02/2006 - 00:14h:

Parabéns fantini,

Ótimo artigo!!! =P

HeLLnuX Linuxzando....
Até.

[2] Comentário enviado por kurumahackid em 01/02/2006 - 00:49h:

heheh loko cara
d+
ehehheh
tb jah to fazenu um artigu aki sobre a mais nova versaum do nmap pq o artigu q tem aki eh 1/2 q antigu.Tipow num manju muito d linux assim naum e nem tampouco d nmap mas ajuda a comunidade é sempre bom neh galera?
falows mas axu q o artigu vai 1/2 q demora d sai tenho q estudar pro vestibular seriadu... primeru anu eh phoda!
heheh falow brow!

[3] Comentário enviado por filipemo em 01/02/2006 - 03:43h:

Valeu ae, me foi muito útil ^^
Num sei quase nada de segurança >_< ainda :P

Artigo muito útil e realmente fácil de entender...

[4] Comentário enviado por jllitvay em 01/02/2006 - 07:13h:

Legal!!
Mas como eu fecho as portas?

[5] Comentário enviado por agk em 01/02/2006 - 08:24h:

Está bom por ser o seu primeiro artigo, parabéns. No próximos quem sabe você amplie um pouco o conteúdo, traga alguns exemplos práticos pra mostrar pro pessoal, por exemplo: log's de um sistema comprometido.
Para fechar portas abertas do sistema você tem que encerar os processos que as abrem.
O comando netstat pode ser bastante útil no que tange esse aspecto.
Tente dar um:
netstat -ln
Isso lhe mostrará as portas abertas do sistema, já o comando lsof -i mostra apenas as portas que estão sendo usadas naquele momento.
Para uma informação mais precisa faça assim:
netstat -lnap
Isso lhe mostrará informações das portas abertas e quais os processos que estão abrindo essas portas.
Para obter um resultado mais completo rode os comando acima com usuário root.
Bem, espero ter dado meu byte de contribuição, segurança sempre é um assunto polêmico, afinal segurança nunca é demais.

[6] Comentário enviado por yunis em 01/02/2006 - 08:31h:

Fantini gostei muito do artigo, parabéns, só tenho uma dúvida uso o conectiva 7 e não consegui executar o comando lsof -i, se puder me ajudar, fico muito grato.

Abraço

[7] Comentário enviado por owen em 01/02/2006 - 11:40h:

nem eu consegui usar o lsof -i ... to usando o kurumin 5.1

[8] Comentário enviado por owen em 01/02/2006 - 11:42h:

consegui! mas pelo root...
primeiro comando su
depois a senha
ai quando estiver no root, lsof -i
VLW! muito bom!

[9] Comentário enviado por ctrlc em 02/02/2006 - 16:13h:

Ola,

uma boa iniciativa. Mas a dica do agk tem mais conteudo que o artigo.

Abracos

[10] Comentário enviado por shocker em 03/02/2006 - 13:50h:

Infelizmente as pessoas não sabem reconhecer a intenção nas coisas. Pela sua intenção você está de parabéns, porém por se tratar do primeiro artigo é óbvio que pode ser melhor. Mais não esquenta com isso, afinal todos estamos aqui para aprender!

Não desista, e poste novos artigos, você verá que com o tempo sua aptidão irá melhorar mais e mais!

Isso aí, grande abraço e boa sorte!

[11] Comentário enviado por container em 08/02/2006 - 09:06h:

Legal mas não deveria ser um artigo e sim uma bela dica...
:p

[12] Comentário enviado por rafasch em 08/02/2006 - 23:30h:

Sem conteúdo , incompleto , e se o objetivo era ajudar iniciantes o artigo deixa mais dúvidas do que respostas.

Faltou explorar um pouco mais , detalhar mais , exemplificar , etc...

[13] Comentário enviado por Filipelinux em 09/02/2006 - 10:42h:

Cara, muito boa inciativa esta de escrever para iniciantes a respeito de segurança em Linux. Só uma coisa, poderia ser colocado um artigo, já que o alvo são os iniciantes, mais detalhado e com mais informações, já que nem todos que começam com segurança tem uma bagagem Linux. Muitos são usuários de outro SO que estão migrando para o pinguim. Na hora de criar um artigo para leigos escreva com mais detalhes. Para os intermediários e avançados pode ser chato, mas para os iniciantes é fundamental. Neste artigo por exemplo poderia ter 2 ou 3 partes, sendo explicado cada um destes comandos com mais detalhes e até mesmo como conseguir outras informações. Por exemplo, no comando "lsof -i" explicar a função do "-i", para assim ajudar muito mais os novatos. Outra coisa interessante é um link de como utilizar o vi ou então o nano como editor de texto, para que o iniciante vá buscar como utilizar tal ferramenta sem dificuldades. Para iniciantes naõ deve ser dado nada mastigado, mas sim as ferramentas para que este encontre todas as informações necessárias, neste caso os "links".

Para mim que já tenho conhecimento de Linux foi excelente este tutorial, parabéns e continue por este caminho que é muito bom cara.

[14] Comentário enviado por jstequino em 09/02/2006 - 11:10h:

Você esta de parabéns...

Muito bom mesmo, só tenho uma observação, espero que no próximo artigo vc descreva mais detalhadamente sobre o assunto que é de vital importância para a comunidade e principalmente para os leigos.

[15] Comentário enviado por legui em 09/02/2006 - 18:31h:

Curti, mas concordo com o jstequino...

Espero poder aprender cada vez mais com voceis...

[16] Comentário enviado por Laís Oliveira em 02/03/2006 - 03:12h:

Curti o artigo !!!
Legal mesmo..

[17] Comentário enviado por mlegidio em 03/04/2006 - 00:19h:

O artigo é muito bom pois da uma base boa para os iniciantes (como eu).

[18] Comentário enviado por pollontechnology em 29/01/2007 - 12:14h:

olá amigo...excelente artigo !!!

Gostaria de ressaltar aos nossos amigos a importancia se saber como combater essas atividades criminosas !!! abordar e procurar tecnicas como o rastreamento e idêntificação de invasores e assim por diante !! porém, tudo vai do interesse de cada novo iniciante....pesquisar é a alma do negócio !!!!!

forte abraço a todos

[19] Comentário enviado por jrs44 em 01/01/2009 - 15:41h:

Embora distante no tempo, no espirito do comentario de shocker, gostaria de
agradecer ao fantini por iniciar o topico e ao agk por ampliar, pois para mim
que estou iniciando foram muito uteis. Aproveito para deixar um link relacionado.
http://www.debian.org/doc/manuals/securing-debian-howto/