Editorial

O comando pstree fornece a árvore dos processos no momento: ele me deu uma boa dica do que acontecia em minha máquina. Pude verificar (numa das situações) que estava ocorrendo um "updatedb" que faz o update da base de dados para o comando "locate". Sendo que o updatedb era disparado pelo anacron. Agradeço a participação do lightwave que apresenta um caminho para se lidar com invasões.

Como saber se meu micro está sendo invadido?

Essa é uma pergunta muito vaga, sei que é o mesmo que mantém esse fórum, mas 
tudo bem, que sirva para outras pessoas, primeiro você tem que conhecer muito 
bem o sistema que trabalha, os protocolos que usa, os serviços que executa, 
para então saber se há vestígio de invasão, a não ser que o invasor te ligue 
dizendo que invadiu teu computador, algo que você tem que ter muito cuidado é 
com seu /var/log, faça backups diário dele, e monitore o bem, veja se houve 
alterações nele que foi outro usuário ou serviço que gravou num arquivo de 
logo, que não seja o serviço que o usa, isso para atesta a validade de seus 
arquivos de log, depois veja os próprios logs, veja os sinais estranhos que 
existe, quem usou tal serviços, o que acessou o que, e assim por diante, o 
trabalho de detecção de invsação é um trabalho de perícia e dissecação do seus 
sistema, ferramentas como rootkit pode te ajudar no serviço, cuidado com os KLM 
(kernel loadable modules), eles são nossa pior ameaça no mundo linux, pior do 
que os virus do windows, há cuide sempre de seus usuários mesmo de sistema, 
mantenha só os usuários que são necessário e os impessa de ficar passeando no 
seu sistema, esses usuários são os mais usados para travessias, enfim, notitore 
suas conexões de rede, e crie boas regras com o ipchais e feche tudo que não 
for usar todos os serviços, deixe só o que você usa, por exemplo, pra que vc 
deixa o serviço finger executando se você não usa, e é aí que alguém pega muita 
informação de sua máquina, bem é só isso, mas se você queiser informações mais 
específicas, poste outra mensagem.

Oi lightwave,
obrigado pela resposta, mas esta pergunta estará vinculada à um boletim mais 
específico. Já adiantando, vamos aos fatos: após instalar o debian e não fechar 
as portas (por acreditar que o debian é seguro) vi meu winchester piscando sem 
que houvesse motivo aparente. Dei o comando "top" e vi que era o "nobody" 
executando "find". O que você faria para comprovar se estava ou não havendo 
invasão? Que comandos usaria? Eu usei um comando simples que me resolveu a 
indagação e estarei compartilhando na semana que vem. Tem alguma idéia?
Jorge Kinoshita.

Hum, deveria ser ele mesmo, mas tudo bem, bem, primeiro eu olharia o como 
estava minhas conexões com a internet, ou seja quem estava acessando meu 
computador, nesse caso, usaria o iptraf que está nos CD's do debian, para ver 
quem estava conectado, com essas informações já teria os ips das máquinas 
conectadas no memento, segundo, usaria o ngrep, para dar uma olhada para ver se 
as saída do find estava sendo enviada para outra máquina, find aliado com o 
less ou more torna se uma ferramenta perigosa, tormara que você tenha 
habilitado as senhas ocultas e o md5, espero também que você não tenha scripts 
de backup guardado em algum lugar, pois a primeira coisa que vai ser procurada 
é no /etc/cronttab, cron.daily e os outros para saber se você tem scripts de 
backups lá, pois depois que os sinais estão gravados o ivasor vai procurar seus 
arquivos de logs e depois o backup deles para alterá-los, portanto um concelho, 
NÃO DEIXE SEUS SCRIPTS DE BACKUP no cronttab, grave os em um arquivo de 
loopback criptografado de preferência com o serpentine ou o des, que são mais 
difíceis de quebrar, segundo, quarde o em um lugar fora do alcance de acessos 
os meus scripts de alta segurança fica em um loopback criptgrafado em 
serpentine gravados no cd o arquivo, quando vou fazer o backup, ponho o dicos, 
acesso os scripts via loop e só então executo o backup, sempre deixo minhas 
partições de backup desmontadas, e não as deixo no fstab. Bem essa é minha 
solução, para os casos mais simples de varreguda no meu sistema. Outra coisa 
muito importante, se você instalou seções extras de man pages ou info, o cron 
irá idexar esses diretórios para saber onde elas estão, sempre é feita uma 
verredua no seus sistema prucurandos esses arquivos e indexandos-o para acessar 
através do http://localhost/doc, normalmente o servidor web faz isso, mas não 
sei no teu caso em que máquina você instalou; Outra coisa use o tcpquota para 
impedir que certos usuários possa abrir seções tcp sem sua altorização, E USE 
IPCHAINS PARA fechar tudo quanto é porta que você não use, e tire aquele monte 
de serviços do inetd que você não usa, deixe só o necessário, bem é isso, estou 
trabalhando com as informações que você me passou, espero que não seja uma 
invasão, mas vamos ver quando você nos der detalhes disso tudo;

Estava olhando aqui no meu top e vi que o usário do apache é o www-data, é 
melhor você dá uma olhada em seu cronttab e rastrear o programa que usa o 
usário nodata e olhe no seu arquivos de log's, agora sim, isso me parece muito 
estranho, por via das dúvidas desabilite telnet rlogin e outros serviços de 
rede que você não usa, olhe em sue /etc/modules e /etc/modules.conf 
e /etc/modutils/aliases e veja se tem módulo estranho, veja também no arch se 
há algo estranho lá, veja também /etc/init.d/ e /etc/rc1.d e rc2.d se tem 
chamdas scripts estranhos lá, veja também todas as datas dos arquivos citados 
acima verifique se tem alguma com data deiferente da data da instalção, se você 
não tiver backups da sua instalação é melhor pensar em uma instalação 
novamente, se você fez um backup completo do sistema no ínicio da instalação é 
hora de restaurar os arquivos modificados, quidado com klm's eles rodam com 
privilégios especiais do kernel que nem o root tem e você tem que encontra-los 
e els não aparece com find, top, ntop ou outras coisas a mais, se possível nos 
dê mais detalhes sobre isso;

Obrigadão pelas valiosas dicas. Vou verificar melhor várias das coisas que você 
menciona. Sendo mais minuncioso no que ocorreu: na hora que vi o nobody dando 
find levei um susto e rebootei o micro -naquele momento eu estava no telefone 
com um colega meu e não tinha muito que pensar-; fechei um monte de portas e 
depois de um certo tempo estava de novo o nobody com o find. Daí fui averiguar 
com netstat as conexões no momento. Não tinha nada mas até cheguei a desconectar 
o cabo da rede ... Daí eu fiquei com uma pulga atrás da orelha: qual processo 
disparou o find? E depois de averiguar isso fiquei mais tranquilo; pretendo 
publicar tudo isso em um boletim futuro, mas o que você escreveu é muito 
interessante e estarei estudando melhor; já adiantando tem tudo a haver com o 
cron. Até mais.

Perguntas & Respostas