Página 1 de 1
[Ajuda] Servidor Cent OS invadido
Enviado: 05 Out 2013 21:23
por joel.pinheiro.313
Prezados, Boa Noite,
Tenho uma vps com cpanel e recente um hacker invadiu o meu S.O e inseriu em todas as contas uma index.html falsa, sendo necessário eu efetuar um restore de todas as contas.
Infelizmente ele deletou vários arquivos que estavam em /var/log/, queria saber o que posso tentar ver pra encontrar algum "rastro" que ele possa ter deixado.
Obrigado,
Re:[Ajuda] Servidor Cent OS invadido
Enviado: 06 Out 2013 13:36
por Elton
ishi pelo logs era a melhor forma para verificar em quais serviços ele mecheu!
tenta ver o history para verificar se mostra os comandos que o cara fez!!
mais os logs seriam a melhor forma!!
Re:[Ajuda] Servidor Cent OS invadido
Enviado: 06 Out 2013 18:51
por edjanio
Boa noite, muito serio o que aconteceu com você, mais para evitar estes e outros ataques sugiro que você faça uma melhor implementação de segurança no seu server, quem te garante que o cara já não vinha colhendo informações do seu server, e quando você percebeu? faça um HARDENING, no servidor para elevar o nível da segurança, um bom sistema de logs, com backup remoto dos logs do sistema, você pode substituir o syslog pelo syslog-ng, não esqueça de instalar o HIDS e uma boa opção é o OSSEC. Sugiro que você também refaça seu server do zero pois uma vez invadido o sistema já esta comprometido e o cara pode voltar.No mais se ele apagou os log´s do sistema aí meu e tentar fazer uma trabalho forense de recuperação destes log´s onde pode demorar um pouco, para você tentar rastrear o meliante.
Re:[Ajuda] Servidor Cent OS invadido
Enviado: 07 Out 2013 19:25
por joel.pinheiro.313
Certo, eu alterei a senha de root e depois restaurei todas as contas, deu um certo trabalho mas o santo backup me ajudou..hehe
Rodei um scan no servidor pra remover os vírus das contas e estou subindo um novo servidor pra mandar estas contas para lá.
Valeu galera pela ajuda...