SEGURANÇA NO UBUNTU

absouza · 17 de Setembro de 2008, 12:21

Pessoal,
preciso de ajuda, montei um servidor proxy e de correio na empresa que trabalho, e p/ minha surpresa o server foi invadido,
preciso da ajuda de vcs como tornar esta maquina segura. não faço a minima idéia como conseguiram fazer isso.
vejam os logs:
Sep 12 13:14:05.625480 189.3.141.122.49396 > xxx.xxx.xxx.227.22: S
> [tcp sum ok] (src OS: Linux 2.6 .1-7, Linux 2.4)
> 1280687445:1280687445(0) win 5840 <mss 1460,sackOK,timestamp 6351138
> 0,nop,wscale 6> (DF) (ttl 57, id 21623, len 60) Sep 12 23:55:01.601818
> 189.3.141.122.55915 > xxx.xxx.xxx.57.22: S [tcp sum ok] (src OS: Linux
> 2.6 .1-7, Linux 2.4) 2974138915:2974138915(0) win 5840 <mss
> 1460,sackOK,timestamp 10196538 0,nop,wscale 6> (DF) (ttl 51, id 21529,
> len 60) Sep 12 23:55:04.605321 189.3.141.122.46798 >
> xxx.xxx.xxx.53.22: S [tcp sum ok] (src OS: Linux 2.6 .1-7, Linux 2.4)
> 2973142970:2973142970(0) win 5840 <mss 1460,sackOK,timestamp 10196838
> 0,nop,wscale 6> (DF) (ttl 51, id 6529, len 60) Sep 12 23:58:46.534818
> 189.3.141.122.58462 > xxx.xxx.xxx.2.22: S [tcp sum ok] (src OS: Linux
> 2.6 .1-7, Linux 2.4) 2225160012:2225160012(0) win 5840 <mss
> 1460,sackOK,timestamp 10219038 0,nop,wscale 6> (DF) (ttl 57, id 53586,
> len 60)

de alguma forma ele descobriu a senha do root.
existe algum tutorial ou passoa-a-passo p/ que eu deixe o meu ubuntu seguro

obrigado.

csat · 17 de Setembro de 2008, 13:09

Citação de: absouza online 17 de Setembro de 2008, 12:21
Pessoal,
preciso de ajuda, montei um servidor proxy e de correio na empresa que trabalho, e p/ minha surpresa o server foi invadido,
preciso da ajuda de vcs como tornar esta maquina segura. não faço a minima idéia como conseguiram fazer isso.
vejam os logs:
Sep 12 13:14:05.625480 189.3.141.122.49396 > xxx.xxx.xxx.227.22: S
> [tcp sum ok] (src OS: Linux 2.6 .1-7, Linux 2.4)
> 1280687445:1280687445(0) win 5840 <mss 1460,sackOK,timestamp 6351138
> 0,nop,wscale 6> (DF) (ttl 57, id 21623, len 60) Sep 12 23:55:01.601818
> 189.3.141.122.55915 > xxx.xxx.xxx.57.22: S [tcp sum ok] (src OS: Linux
> 2.6 .1-7, Linux 2.4) 2974138915:2974138915(0) win 5840 <mss
> 1460,sackOK,timestamp 10196538 0,nop,wscale 6> (DF) (ttl 51, id 21529,
> len 60) Sep 12 23:55:04.605321 189.3.141.122.46798 >
> xxx.xxx.xxx.53.22: S [tcp sum ok] (src OS: Linux 2.6 .1-7, Linux 2.4)
> 2973142970:2973142970(0) win 5840 <mss 1460,sackOK,timestamp 10196838
> 0,nop,wscale 6> (DF) (ttl 51, id 6529, len 60) Sep 12 23:58:46.534818
> 189.3.141.122.58462 > xxx.xxx.xxx.2.22: S [tcp sum ok] (src OS: Linux
> 2.6 .1-7, Linux 2.4) 2225160012:2225160012(0) win 5840 <mss
> 1460,sackOK,timestamp 10219038 0,nop,wscale 6> (DF) (ttl 57, id 53586,
> len 60)

de alguma forma ele descobriu a senha do root.
existe algum tutorial ou passoa-a-passo p/ que eu deixe o meu ubuntu seguro
obrigado.

Eu conheço um muito bom, =>em Ingles<=, neste endereço assinalado em vermelho.

carlosaluisio · 17 de Setembro de 2008, 13:23

Tche, primiro instala o nmap, e veja quais portas estão abertas.
nmap localhost mostra até o serviço utilizado por cada porta.

instale o firestarter no servidor, que daí, voce tem todo o cuidado das portas, redirecionamento, e também especificar quais maquinas acessam o servidor.

carlos

csat · 17 de Setembro de 2008, 14:17

Citação de: carlosaluisio online 17 de Setembro de 2008, 13:23
Tche, primiro instala o nmap, e veja quais portas estão abertas.
nmap localhost mostra até o serviço utilizado por cada porta.

instale o firestarter no servidor, que daí, voce tem todo o cuidado das portas, redirecionamento, e também especificar quais maquinas acessam o servidor.

carlos

Carlos

O meu tá assim:

$ nmap localhost

Starting Nmap 4.75 ( http://nmap.org ) at 2008-09-17 14:15 BRT
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 997 closed ports
PORT STATE SERVICE
111/tcp open rpcbind
631/tcp open ipp
992/tcp open telnets

Nmap done: 1 IP address (1 host up) scanned in 0.06 seconds

Tá bom ou ruim?

carlosaluisio · 17 de Setembro de 2008, 22:00

Citação de: csat online 17 de Setembro de 2008, 14:17
Citação de: carlosaluisio online 17 de Setembro de 2008, 13:23
Tche, primiro instala o nmap, e veja quais portas estão abertas.
nmap localhost mostra até o serviço utilizado por cada porta.

instale o firestarter no servidor, que daí, voce tem todo o cuidado das portas, redirecionamento, e também especificar quais maquinas acessam o servidor.

carlos

Carlos

O meu tá assim:

$ nmap localhost

Starting Nmap 4.75 ( http://nmap.org ) at 2008-09-17 14:15 BRT
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 997 closed ports
PORT STATE SERVICE
111/tcp open rpcbind
631/tcp open ipp
992/tcp open telnets

Nmap done: 1 IP address (1 host up) scanned in 0.06 seconds

Tá bom ou ruim?

Elas podem estar abertas em localhost ou em máquina interna, mas, se usas um modem desses dlink router, por exemplo, elas podem ser filtradas quando "saem para fora".

Para ver isso, vá em uma máquina externa, e digite nmap -p 992 [NUMERODOIPDATUAMAQUINA]

A porta 631 sempre é aberta, por padrão, essa tua 992 indica que tem instado um serviço de telnet em tua máquina. tem aglo do tipo para acesso em rede ? Veja de uma máquina externa como que está essa porta.

Sds. Carlos

csat · 17 de Setembro de 2008, 23:44

Valeu. Agradeço.