octopos
(usa Debian)
Enviado em 23/03/2009 - 00:21h
Olá xispirito =]
Tente tirar do usuário a chamada de shell, editando o /etc/passwd , colocando algo como:
nobody:x:[uid]:[gid]:,,,:/tmp:/bin/false
e ditando /etc/shadow para:
nobody:*:14216:0:99999:7:::
Assim ele não conseguirá logar, porem ele pode estar "caindo" nesse usuário através de algum ataque ao sistema ou serviço.
Portanto rode um chkrootkit no seu sistema através de livecd ou outro sistema.
Veja sobre como usar o chkrootkit aqui:
www.vivaolinux.com.br/artigo/Procurando-rootkits-no-seu-sistema/
Caso queira, pode me mandar o log por e-mail, octpos em gmail pont. com .
Você pode ler um pouco mais sobre "macetes de segurança" em:
www.vivaolinux.com.br/artigo/Security-Hacks-Linux-e-BSD
Aconselho também a rodar algum scanner de segurança, como o Nessus ou varrer suas portas mais rapidamente com nmap .
Caso seu sistema esteja comprometido e seja detectado rootkits, me envie os logs, faça backup dos arquivos importantes e prepare para instalar de novo o sistema, pois se foi detectado um rootkit, com certeza podem haver outros em módulos do kernel, já que a escrita de módulos simples para o fim de comprometer a segurança é algo um pouco simples.
O mais importante agora é apreender com os erros, antes de formatar a partição, tente ver por onde o atacante ganhou acesso, se quiser posso lhe ajudar com isso.
No meio tempo apreenda sobre sistemas de segurança como IDS(Snort , LIDS ,...) sniffers de redes(Ettercap , ethereal,...), patchs de segurança para kernel (grsec, LIDS(!),...)
Qualquer coisa, pode perguntar aqui o no meu e-mail, no meu tempo livre não exitarei em lhe ajudar
=]
Abraços
