As características apresentadas são um escopo geral de como você pode identificar ou partir para uma análise caso seu servidor comece a se comportar de forma estranha, como segue:
- As aplicações instaladas no servidor de repente começam a não responder de forma esperada, ou seja, problemas incomuns e um ambiente considerado estável
- Contas de usuários adicionais que você não consegue visualizar (elas podem ter sido feitas para parecer com contas do sistema)
- Novos arquivos ou diretórios com nomes incomuns, por exemplo ‘…’, ‘.qualquercoisa’ etc
- Tráfego de rede acima do comum e que não podem ser atribuidas a um processo em particular
- Você recebe um email de um departamento de segurança dizendo que seu servidor foi detectado em estar fazendo port scan ou enviando tráfego de rede malicioso para determinado site
- O servidor está rodando significativamente lento e alto consumo de processamento.
Esses são os pontos principais, onde, pode haver um ou até mesmo todos os sintomas listados acima, mas não limitado a esses.
Link relacionado
Nesse Blog, do meu amigo Luciano, tem uma análise completa de um host comprometido e detalhamento do que foi feito para identificar e combater. Obrigado pela contribuição Luciano!
Comente caso você tenha uma outra característica!
Comentários
Comentários fechados para visitantes. Entre ou registre-se para comentar.
2 respostas para “Comportamento de um servidor comprometido”
Dr. Daniel, segue um comportamento de uma invasão, e também uma analise de como o servidor foi compromitdo:
http://lucianoborguetti.blogspot.com/2009/06/possible-t0rn-v8-or-variation-rootkit.html
Abraço,
Obrigado pela contribuição Luciano! Atualizei o post com a sua indicação. =)