Agora que a bagunça já foi feita e seu servidor já foi atacado, a melhor coisa a fazer é tirar o seu sistema do ar, resumindo, desconectar seu servidor da internet.

Dê um boot no sistema, fazendo com que os intrusos caiam. Tentar rastrear o intruso que esteja com posse no seu sistema como usuário root é arriscado, mas pode ser uma opção. O máximo que o invasor poderá fazer, ao pressentir que está sendo rastreado, é dar um "rm -rf /" em seu sistema - se o mesmo utilizar o Linux é claro :P

Conheça alguns exemplos de rastreamentos em sistema Linux.

*/ Sistema linux */

No Linux, para encontrar um rastro de uma invasão e chegar, assim, ao invasor, é necessário usar bom censo, pensando como se fosse o invasor. O que você faria se tivesse com o sistema operacional na mão? Óbvio, você faria de tudo para não perder acesso ao sistema, instalaria algum tipo de backdoor ou até mesmo adicionaria um usuário com privilégios máximos.

Mas com tudo isto, você antes de mais nada precisa conhecer o seu sistema. Saiba se ele tem dados de datas execuções de arquivos, quais os serviços que estão rodando, quais são as portas abertas.

Para ver todas as portas abertas no sistema digite o comando abaixo:

# lsof -i

Serão listadas todas as portas que estão sendo usadas. Veja se encontra alguma porta estranha.

Procurar por rastros no /etc/passwd é obrigatório. Adicionar usuário no /etc/passwd é bem a cara de muitos defacers, portanto não perca tempo. Tenha em mente todos os usuários cadastrados no sistema e entre com o comando abaixo:

# grep ":0:0:" /etc/passwd

Serão listados os usuários do sistema. Veja se todos conferem. Se encontrar algo de estranho, examine. Como examinar? Use arquivos de logs do sistema - o primeiro arquivo a ser verificado é o .bash_history, o qual conterá os 1.000 últimos comandos digitados por algum usuário.

Por exemplo, no caso do usuário root, o arquivo .bash_history se encontra no diretório /root. Editando-o com seu editor de texto preferido ou até mesmo executando ele com o cat, você terá uma pequena noção do que foi feito no seu sistema e assim, tentará corrigir. Se mesmo assim o log .bash_history não trouxer informações úteis, utilize o comando:

# ps -aef | grep root

O comando acima irá procurar por processos executados pelo root, que no caso poderá ser modificado para qualquer outro usuário. Serão listados os processos executados pelo usuário root; veja se o mesmo não apresenta algum script estranho executando. Com certeza, este passo lhe trará algumas informações importantes.

Após isto você terá que descobrir qual foi a porta de entrada do invasor e qual bug foi usado por ele para explorar seu servidor, pois não adianta tirar o acesso do invasor no sistema se este ainda se encontra bugado.

Este passo é demorado e exigira um pouco de paciência. Comece pelos daemons, que são os softwares mais explorados para ter acesso ao seu sistema, como servidores FTP, IMAP, BIND. Todos são serviços utilizados pelo Linux que poderão ser facilmente explorados remotamente pelo invasor.

Para proteger-se de um ataque desse tipo, mantenha seus serviços e softwares sempre atualizados e bem configurados e sempre que possível, utilize um scanner de segurança. Neste caso, recomendo o Nsat ou o Nessus:

• http://sourceforge.net/projects/nsat
• http://www.nessus.org