Estou Recebendo Ataques e Suspeita de Invasao

fernandooliveira
(usa Outra)

Enviado em 28/02/2013 - 02:39h

galera preciso muito da ajuda de vcs pois estou recebendo ataques frequentimente em minha maquina br na locaweb.. mandei bloquear todos os ips de fora maisianda de vem em quando acontece de estarem atacando com varios ips e portas brasileitas, nao chega a cair o servidor mais fica muito lerdo a conexão da banda..

tambem tenho recebido chamados da locaweb dizendo que eu estou atacando ips, sendo que nunca ataquei ninguem, tambem suspeito deles terem invadido minha maquina mais em todos os logs que eu olho como last etc.. so tem minhas entradas na maquina..

queria saber de vcs como previno isso e se esse usuarios que estao cadastrados na minha maquina sao os nosmais do linux debian ou tem algum estranho que indique invasao.

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
Debian-exim:x:101:103::/var/spool/exim4:/bin/false
statd:x:102:65534::/var/lib/nfs:/bin/false
fernando:x:1000:1000:fernando oliveira lima,,,:/home/fernando:/bin/bash
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin
mysql:x:104:106:MySQL Server,,,:/var/lib/mysql:/bin/false
ntop:x:105:108::/var/lib/ntop:/bin/false
nando:x:1001:1001:eu,eu,y,y,y:/home/nando:/bin/bash


obrigado desde ja a ajuda de todos, nando e fernando sao meus mesmo

MarceloTheodoro
(usa Debian)

Enviado em 28/02/2013 - 08:49h

É um VPS, certo?
Que portas essa máquina tem aberta? Ela roda algum aplicativo web?
Acho mais possível alguém ter explorado alguma falha em um aplicativo web do que na máquina em si.

saitam
(usa Slackware)

Enviado em 28/02/2013 - 11:04h

Verifique com algum IDS como o Snort por exemplo e faça uma análise forense.

danniel-lara
(usa Fedora)

Enviado em 28/02/2013 - 11:08h

também concordo