Invasao

dtomadon · 17 de Maio de 2010, 21:21

Cara esse relato é fora do comun, mas não impossível, todo sistema é passível de falha , geralmente humana, seja por senha fraca ou instalação de software suspeito, como zekkerj disse, num ambiente seguro o acomodamento é maior, se não reinstalou seu sistema como sugeriu nosso colega agente100gelo, acredito que se fosse um rootkit, sim seria necessário, se não reinstalou o sistema ainda, acredito que alguém com mais experiência aqui do fórum poderia analisar os logs de inicialização da sua máquina, e se achar algo nos explicar os eventos achados, somente uma sugestão, pois tive uma palestra de investigação forense hoje na faculdade e o palestrante enfatizou bem essa etapa de uma invasão, sempre se deixa rastro por mais bem camuflada que seja a invasão. Acho que já teclei demais hoje uma boa noite a todos.

SnakeEyes · 18 de Maio de 2010, 19:29

no meu caso quando estava na internet sempre o Firestarter estava bloqueando...eu só tive tentativas de invasão...contudo vou até usar o PSAD que bloquea o nmap para ele não fazer a varredura,que até desconhecia o PSAD.

dtomadon · 18 de Maio de 2010, 20:19

Citação de: SnakeEyes online 18 de Maio de 2010, 19:29
no meu caso quando estava na internet sempre o Firestarter estava bloqueando...eu só tive tentativas de invasão...contudo vou até usar o PSAD que bloqueia o nmap para ele não fazer a varredura,que até desconhecia o PSAD.

Como está a sua configuração do firestarter, a aba filtragem ICMP está habilitada? ( Digo habilitada mas sem nenhuma opção marcada, isso evita eco de ping, tracerout e outros.!!

kalashinakov · 19 de Maio de 2010, 13:52

ola, sou leigo no ubuntu ,e no forum rsrsr
aproveitando que a conversa rumou para o firestarter, quando se clica em eventos (conexôes bloqueadas)os que aparecem em vermelho, oque é?(obvio conexao bloqueadas) seria uma potencial tentativa de invasao? /espero nao ter atrapalhado/

Polaco · 19 de Maio de 2010, 21:44

Primeiro, você tem certeza que ninguém acessou fisicamente a máquina? de fisicamente entenda alguém que foi e mexeu no computador? havia um servidor FTP instalado? baixou programas que não dos repositórios oficiais? habilitou a conta de root? habilitou o SSH?

Tudo isso tem que ser averiguado, é a primeira vez que ouço falar de um caso assim, não que seja impossível, mas as chances de isso acontecer para um usuário comum, que não instala serviços perigosos e mantém o sistema atualizado é próxima de zero.

Se isso aconteceu contigo, parabéns é um cara de sorte! eu jogaria na Mega Sena, as chances de vitória são parecidas.

trackynx · 25 de Maio de 2010, 22:16

Citação de: kalashinakov online 19 de Maio de 2010, 13:52
ola, sou leigo no ubuntu ,e no forum rsrsr
aproveitando que a conversa rumou para o firestarter, quando se clica em eventos (conexôes bloqueadas)os que aparecem em vermelho, oque é?(obvio conexao bloqueadas) seria uma potencial tentativa de invasao? /espero nao ter atrapalhado/

exato...foi uma tentativa de invasão sim.

Invasao

dtomadon

SnakeEyes

dtomadon

kalashinakov

Polaco

trackynx