Invasão!

Pessoal, tenho um servidor 2003 na minha rede!
Tem um maluco que invadui o servidor 2003 e criou pastas no C: (depois ligou no meu cel, e disse que conseguiu invadir "PELA PORTA 80")...
De fato o [*****] invadiu, pois as mesmas estavam lá!

Preocupado com minhas informações aqui da empresa, resolvi por um PROXY (Conectiva 10, Squid + Iptables), direcionando a porta 80 para 3128...
Ele falou que usou um programa em linux para tal invasão!
Gostaria de saber duas coisas...
1 - Estou protegido (direcionando a porta 80 p/ 3128)?
2 - Que programa ele poderia ter utilizado para me invadir? de que forma? Gostaria de saber para poder fazer testes!

Obrigado desde já !

Prá começar vc deixou o IIS de cara prá rua? Se foi isso o cara usou um script para se utilizar de uma das muitas falhas do IIS, é só vc procurar nas RFC's. Acessando sua maquina ele ganha permissão de admin devido talvez uma falha do IIS. Voce colocando o squid como Proxy Reverso sim resolveria, mas se fosse vc trocaria pelo Apache, menos suscetível a este tipo de ataque. O cara foi bonzinho, do tipo Gasper, se ele quizesse jogava teus dados no lixo. A parada do proxy reverso, é que o squid faz cache da sua própria pagina, assim quando o HTTP Server é solicitado, é o squid que responde, criando assim uma camada a mais de segurança. Vc ainda pode dizer pros que estão acessando que ele é um Apache, em vez de um IIS.

A porta 80 é muito visada para efeitos de invasão.
Também a 139 e mais modernamente a 8080.

Uso Windows 98 com um programinha chamado Xobobus que indica que minha porta 80 sofre mais de 10 tentativas de invasão DIÁRIAS (a 139 ganha disparado). O Xobobus atua mais ou menos como se fosse um Firewall, e me mantém tranqüilo quanto a isso, podendo até mesmo lançar uma resposta-bomba que pode travar o site do invasor.

Independentemente do sistema operacional que empreguemos, as tentativas de invasão são uma preocupante realidade no nosso dia-a-dia.

Não precisa usar especificamente o Linux para invadir, pois há inúmeros programinhas e malware para Windows que fazem a mesma coisa, com a maior simplicidade.

Agora, uma coisa é certa: Para que uma tentativa de invasão se torne uma realidade, é necessário que as portas estejam desprotegidas.

Tanto para quem tem apenas um desktop quanto para quem administra sistemas, essa proteção deve ter prioridade máxima.

esse Xobobus é bom, mas nao o suficiente, vc tem que manter sempre seu Windows atualizado e suas ferramentas de proteção tmb (Anti Virus, etc)

abraços

No caso do Windows 98, estamos realmente no mato sem cachorro.
Os antivirus não têm mais atualizações para esse S.O. e dessa forma temos de usar tudo o que tivermos à mão.
Além do atual (?) Antivir (usava o AVG) e do Xobobus, uso de vez em quando o Panda (a partir de um CD) e o TFAK (Trojan First Aid Kit).
Também vivo passando o RegClean, o Scandisk e o Defrag (todos da própria Microsoft), para tentar manter meu Hd saudável.
Como ainda tenho que fazer coisas no Windows, sinto como se estivesse aparando o gramado com tesourinha de unhas, pois dá um trabalho muito grande manter as coisas em ordem.

cara, ele pode ter usado inumeros programas para fazer essa invasão... agora, como o cara tem seu numero ? tem o seu numero no servidor ? ehehe, mas colocar o squid com proxy reverso é uma boa... tbm

agora voce tem que ver se seus programas estão atualizados... uma boa é ficar de olho no site:

www.securityfocus.com

para ver os ultimos programas que acharam falhas de segurança...

procure na internet por programas de "rede externa" que voce tem ai no Ruindows Server 2003 rsrs, se esses programas tem falhas de segurança... e se tiver é so voce atualizar os programas.

Vale relembrar os procedimentos básicos, como um bom firewall, anti virus atualizado e até mesmo um anti-spyware.

Meu caro,

Não ficou claro onde está esse teu servidor, mas parece que ele está com ip válido ou portas direcionadas para ele.
O simples fato de colocar um Linux não implica em estar seguro.
Politicas de atualização de software para corrigir bugs de versões já ajuda um bocado, pois provavelmente ele utilizou de uma falha dessas para entrar em seu sistema. Isso afeta todos os sistemas operacionais.

É necessário também um firewall bem configurado e um IDS para fazer uma boa bareira.
Colocar os servidores em uma DMZ faz com que o invador não acesse sua rede interna. Isso já evita bastante prejuizo, pois geralmente o pessoal coloca apenas um firewall na frente e os servidores na mesma rede que os demais computadores da empresa.

Direcionar o tráfego da porta 80 para qualquer outra também não diz nada.

Para o firewall, pode checar o script que eu fiz em :
http://www.vivaolinux.com.br/etc/rc.firewall-pelo

Sérgio Abrantes
[]'s