Denuncie   Favoritos   Indicar  

01 02

Tirei férias e ferraram meu servidor?

13. Re: Tirei férias e ferraram meu servidor?

Patrick Silva
ps-martins
(usa Debian)

Enviado em 26/10/2015 - 22:29h 

last root



1 0
  • Quote

    •   


    14. Re: Tirei férias e ferraram meu servidor?

    Silas Matos
    silasmg
    (usa Debian)

    Enviado em 27/10/2015 - 08:59h

    Não tem câmeras na sala, mas tem câmeras no corredor. Tem alguma forma de eu diminuir o tamanho dos logs futuros? Pois cada arquivo de log tem 800MB, demora muito para abrir cada arquivo.

    Dei o comando last root, e comparando com a data dos arquivos:

    http://i.imgur.com/N48miat.png
    http://i.imgur.com/fTliKJh.png

    Apareceu 2 horários que coincidem:

    root pts/0 :0 Sun Oct 18 18:49-19:20 (00:30)
    root pts/0 :0 Thu Oct 22 20:13-20:17 (00:03)

    Quanto aos logs ainda estou com dificuldades, pois são enormes e a demora para abrir cada arquivo é gigante.

    0 0
  • Quote

    • 15. Re: Tirei férias e ferraram meu servidor?

    Jose Mario
    zezaocapoeira
    (usa Slackware)

    Enviado em 27/10/2015 - 10:55h

    Salve mano . O seu server foi reiniciado ? Caso usar o grub pra gerenciar o boot ai , tem a possibilidade de ter acesso ao root por ele .

    Obrigado pela atenção , salve !!!

    0 0
  • Quote

    • 16. Re: Tirei férias e ferraram meu servidor?

    Silas Matos
    silasmg
    (usa Debian)

    Enviado em 27/10/2015 - 10:57h

    Desde antes do ocorrido o server não foi reiniciado nenhuma vez.

    Estranho que no history do terminal, os comandos se encontram todos no mesmo horário, inclusive em segundos, como se tivesse parado o relógio do servidor, por isso acredito que seja um acesso de fora, pois todos os outros comandos digitados presencialmente o horário funciona normal e aparece os segundos corretamente.

    Não sei se poderia ter sido alguém usando um scanner e por um acaso acharam meu ip com um ping baixo, já que aqui é 10mb com ip fixo dedicado, e isso teria atraído esta pessoa a tentar instalar um server de CS.

    Não achei nada claro nos logs ainda.

    0 0
  • Quote

    • 17. Re: Tirei férias e ferraram meu servidor?

    Ricardo Fabiano Silva
    madrugada
    (usa Gentoo)

    Enviado em 27/10/2015 - 11:02h

    Silas Matos escreveu:
    [...] Tem alguma forma de eu diminuir o tamanho dos logs futuros? Pois cada arquivo de log tem 800MB, demora muito para abrir cada arquivo.
    [...]
    Quanto aos logs ainda estou com dificuldades, pois são enormes e a demora para abrir cada arquivo é gigante.

    Tente filtrar com o grep:
    cat arquivo_log | grep ssh

    Além do ssh pode usar outros comandos que queira filtrar.


    0 0
  • Quote

    • 18. Re: Tirei férias e ferraram meu servidor?

    Silas Matos
    silasmg
    (usa Debian)

    Enviado em 27/10/2015 - 15:03h

    em auth.log encontrei algumas linhas assim:

    Oct 25 11:47:11 saude sshd[26309]: Failed password for root from 177.19.238.210 port 54646 ssh2
    Oct 25 11:47:11 saude sshd[26309]: Connection closed by 177.19.238.210 [preauth]
    Oct 25 11:48:01 saude sshd[26315]: Address 177.19.238.210 maps to 177.19.238.210.static.gvt.net.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
    Oct 25 11:48:01 saude sshd[26315]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=177.19.238.210 user=root
    Oct 25 11:48:04 saude sshd[26315]: Failed password for root from 177.19.238.210 port 33879 ssh2
    Oct 25 11:48:04 saude sshd[26315]: Connection closed by 177.19.238.210 [preauth]
    Oct 25 11:50:15 saude sshd[26359]: Address 177.19.238.210 maps to 177.19.238.210.static.gvt.net.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
    Oct 25 11:50:15 saude sshd[26359]: Invalid user admin from 177.19.238.210
    Oct 25 11:50:15 saude sshd[26359]: input_userauth_request: invalid user admin [preauth]
    Oct 25 11:50:15 saude sshd[26359]: pam_unix(sshd:auth): check pass; user unknown
    Oct 25 11:50:15 saude sshd[26359]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=177.19.238.210
    Oct 25 11:50:18 saude sshd[26359]: Failed password for invalid user admin from 177.19.238.210 port 53911 ssh2
    Oct 25 11:50:18 saude sshd[26359]: Connection closed by 177.19.238.210 [preauth]
    Oct 25 11:51:09 saude sshd[26369]: Address 177.19.238.210 maps to 177.19.238.210.static.gvt.net.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
    Oct 25 11:51:09 saude sshd[26369]: Invalid user admin from 177.19.238.210
    Oct 25 11:51:09 saude sshd[26369]: input_userauth_request: invalid user admin [preauth]
    Oct 25 11:51:09 saude sshd[26369]: pam_unix(sshd:auth): check pass; user unknown
    Oct 25 11:51:09 saude sshd[26369]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=177.19.238.210
    Oct 25 11:51:11 saude sshd[26369]: Failed password for invalid user admin from 177.19.238.210 port 33825 ssh2
    Oct 25 11:51:11 saude sshd[26369]: Connection closed by 177.19.238.210 [preauth]
    Oct 25 11:53:35 saude sshd[26410]: Address 177.19.238.210 maps to 177.19.238.210.static.gvt.net.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!


    e nos processos ainda encontrei isto:

    xhlds 544 558 root 160u IPv4 3433830 0t0 UDP 189-73-173-78.paebv701.e.brasiltelecom.net.br:27157
    xhlds 544 558 root 161u IPv4 3433831 0t0 UDP 189-73-173-78.paebv701.e.brasiltelecom.net.br:27158
    xhlds 544 558 root 162u IPv4 3433832 0t0 UDP 189-73-173-78.paebv701.e.brasiltelecom.net.br:27159
    xhlds 544 558 root 163u IPv4 3433833 0t0 UDP 189-73-173-78.paebv701.e.brasiltelecom.net.br:27160
    xhlds 544 558 root 164u IPv4 3433834 0t0 UDP 189-73-173-78.paebv701.e.brasiltelecom.net.br:27161


    0 0
  • Quote

    • 19. Re: Tirei férias e ferraram meu servidor?

    Renan Arantes
    R3nan
    (usa Debian)

    Enviado em 27/10/2015 - 15:08h


    manda um killall -9 xhlds

    0 0
  • Quote

    • 20. Re: Tirei férias e ferraram meu servidor?

    Silas Matos
    silasmg
    (usa Debian)

    Enviado em 27/10/2015 - 15:47h

    Excluiram o usuário que tinha "cpd", e agora ao deslogar do root e logar novamente o root mudou de nome para ssh

    0 0
  • Quote

    • 21. Re: Tirei férias e ferraram meu servidor?

    Giovanni M
    Giovanni_Menezes
    (usa Devuan)

    Enviado em 27/10/2015 - 15:59h

    Quando você conseguir identificar quem foi, recomendo salvar copias dos logs de tudo quanto for possível com você, depois passar a situação para seu superior, você disse que também funciona um servidor de arquivos, se forem arquivos sensíveis é algo muito sério (é serio em qualquer situação) se foi alguém de dentro que fez isso deveria ser demitido, remover o iptables de um servidor é um crime


    0 0
  • Quote

    • 22. Re: Tirei férias e ferraram meu servidor?

    Silas Matos
    silasmg
    (usa Debian)

    Enviado em 27/10/2015 - 16:42h

    Ele removeu o iptables, mas sequer matou o processo ou limpou as regras, então acho que no fim as regras do iptables continuaram funcionando, ou com o apt-get purge ele para o processo e limpa as regras automaticamente?

    O que leva a todos vocês a crerem que foi alguém diretamente na frente do pc e não uma invasão externa?

    auth.log
    Oct 26 07:05:37 saude sshd(7100): Invalid user testtest from 187.177.137.233


    O que seria isso? Este seria algum ip tentando logar como testtest? Tem muitas linhas com diversas tentativas diferentes com diversos usuários diferentes, test1 test2 etc...
    Sendo assim acho q estou sendo atacado constantemente, teria alguma coisa a se fazer quanto a isso?

    0 0
  • Quote

    • 23. Re: Tirei férias e ferraram meu servidor?

    Renan Arantes
    R3nan
    (usa Debian)

    Enviado em 27/10/2015 - 17:00h

    isso mesmo, são tentativas de logar no seu servidor remotamente com esses usuarios testess, acredito que todo mundo q tem um servidor com ip estatico valido rodando um servidor ssh esta sujeito a esse tipo de ataque brute force, boas maneiras de evitar ou minimizar isso é mudar a porta que ssh esta rodando, ou implementar o fail2ban, uma pergunta o seu servidor ssh esta configurado para receber conexao remota com o usuario root? se não tiver, vc ja matou a charada, o acesso com o root foi sentado na frente da maquina apesar que tb pode ter sido via vnc como vc tinha mencionado ter isso rodando tb, existem outros usuarios com permissao a acessar o ssh? alem do root e cpd ? cat /etc/passwd vc ve os usuarios do seu sistema usuarios com uid acima de 1000 sao usuarios cadastrados por "pessoas" abaixo de 1000 sao usuarios do sistema, isso se vc estiver usando debian like, se for centos é uid maior que 500

    1 0
  • Quote

    • 24. Re: Tirei férias e ferraram meu servidor?

    Giovanni M
    Giovanni_Menezes
    (usa Devuan)

    Enviado em 27/10/2015 - 17:21h

    O que leva a todos vocês a crerem que foi alguém diretamente na frente do pc e não uma invasão externa?


    Não sei os outros mas na minha opinião o fato disso acontecer justamente quando você estava ausente, e se fosse outra pessoa querendo invadir o servidor não ia ser para instalar um servidor cs penso eu, a impressão que me passa é que foi alguém da empresa, pode ate ter feito isso remotamente achando que assim não seria pega.



    2 0
  • Quote


    • 01 02



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Como renomear arquivos de letras maiúsculas para minúsculas

    Imprimindo no formato livreto no Linux

    Vim - incrementando números em substituição

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Tópicos

    Vou voltar moderar conteúdos de Dicas e Artigos (1)

    SysAdmin ou DevOps: Qual curso inicial pra essa área? (3)

    É cada coisa que me aparece! - não é só 3% (3)

    Melhorando a precisão de valores flutuantes em python[AJUDA] (5)

    Distro Tiger OS (2)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: