{"id":408,"date":"2010-08-03T18:58:40","date_gmt":"2010-08-03T21:58:40","guid":{"rendered":"http:\/\/www.eriberto.pro.br\/blog\/?p=408"},"modified":"2011-10-10T17:58:40","modified_gmt":"2011-10-10T20:58:40","slug":"invasao-de-rede-de-camarote-again","status":"publish","type":"post","link":"https:\/\/eriberto.pro.br\/blog\/2010\/08\/03\/invasao-de-rede-de-camarote-again\/","title":{"rendered":"Invas\u00e3o de rede de camarote again&#8230;"},"content":{"rendered":"<p>Povo de Deus,  Novamente temos uma m\u00e1quina no ar, desde 18:40h, realizando a mesma tarefa descrita no post &#8220;<a href=\"http:\/\/www.eriberto.pro.br\/blog\/?p=376\">Assistindo a uma invas\u00e3o de rede de camarote&#8230;<\/a>&#8220;. A diferen\u00e7a \u00e9 que, desta vez, pretendo disponibilizar o dump de mem\u00f3ria e j\u00e1 estou escrevendo um wiki que ensina preparar o mesmo ambiente que eu fiz.  Agora \u00e9 esperar os acontecimentos&#8230;<\/p>\n<h2>Dia 03 ago. 2010<\/h2>\n<h3>18:40 h<\/h3>\n<ul>\n<li>M\u00e1quina no ar!!<\/li>\n<\/ul>\n<h2>Dia 04 ago. 2010<\/h2>\n<h3>06:26 h<\/h3>\n<ul>\n<li>At\u00e9 agora o samhain n\u00e3o enviou qualquer mensagem. Tudo calmo. Isso pode ocorrer pelo fato do meu range de IPs talvez n\u00e3o ter sido scaneado pelos rob\u00f4s (bots) da Internet ainda. Daqui a pouco estarei junto \u00e0 m\u00e1quina e direi o que ocorreu em termos de tr\u00e1fego de rede. N\u00e3o quero entrar nela para olhar. Vai contaminar o ambiente. Mas \u00e9 fato que algo vai ocorrer. Mesmo que demore dias. Vamos esperar como se f\u00f4ssemos pescadores&#8230;<\/li>\n<\/ul>\n<h3>06:35 h<\/h3>\n<ul>\n<li>Opa! Nova an\u00e1lise. Entrei na m\u00e1quina base, remotamente (isso n\u00e3o contamina a real) e vi, nas grava\u00e7\u00f5es tcpdump, que houve movimento ssh a partir das 22:35 h. Ent\u00e3o, o samhain n\u00e3o acusou nada ou porque foi morto com kill -9 ou porque n\u00e3o houve altera\u00e7\u00f5es na m\u00e1quina. Vou tentar colher agora o log <em>\/var\/log\/auth.log<\/em> por scp para dar uma olhada sem contaminar muito a m\u00e1quina.<\/li>\n<li>Colhi o log. A senha ainda \u00e9 a mesma. Vejam:<\/li>\n<\/ul>\n<pre style=\"padding-left: 30px;\">Aug\u00a0 4 00:01:29 server sshd[1141]: Invalid user Benutzer from 98.173.22.178<\/pre>\n<ul>\n<li>Na linha anterior j\u00e1 houve uma tentativa de entrada a partir dos USA. Esse camarada fez tentativas at\u00e9 as 00:11 h mas n\u00e3o chegou a entrar. Foram 32 tentativas em cerca de 10 minutos. Depois veio:<\/li>\n<\/ul>\n<pre style=\"padding-left: 30px;\">Aug\u00a0 4 02:29:12 server sshd[1511]: Failed password for root from 61.129.86.186 port 65487 ssh2<\/pre>\n<ul>\n<li>Agora veio da China. Foram 5 tentativas em 1 minuto mas tamb\u00e9m n\u00e3o entrou. Vamos aguardar. O que acontecer\u00e1 durante o dia?<\/li>\n<\/ul>\n<h3>09:10 h<\/h3>\n<ul>\n<li>J\u00e1 no local onde est\u00e1 a m\u00e1quina. Acabo de fazer um dump de mem\u00f3ria, externamente, via Xen. Analisei os logs (dentro da mem\u00f3ria) e n\u00e3o h\u00e1 novidades. O samhain tamb\u00e9m permanece quieto. Sabemos que agora \u00e9 noite no hemisf\u00e9rio oriental e daqui a pouco ser\u00e1 madrugada. Talvez algo ocorra. Mas um fato marcante \u00e9 que ainda n\u00e3o houve um ataque ssh de for\u00e7a bruta (do tipo tentativa em massa de logins) por nenhum bot. Temos que esperar&#8230;<\/li>\n<\/ul>\n<h3>09:40 h<\/h3>\n<ul>\n<li>Estou notando no Iptraf que est\u00e1 rodando na m\u00e1quina real a ocorr\u00eancia de alguns pings (ICMP Echo Request). Assim, acabo de fazer um levantamento disso no arquivo que est\u00e1 sendo gravado pelo tcpdump. O resultado (mostrando somente at\u00e9 o IP de origem):<\/li>\n<\/ul>\n<pre style=\"padding-left: 30px;\">2010-08-03 19:11:45.040983 IP 220.76.200.59\r\n2010-08-03 19:11:45.365377 IP 220.76.200.59\r\n2010-08-03 19:14:49.230188 IP 192.168.100.20\r\n2010-08-03 19:22:17.485984 IP 200.252.13.18\r\n2010-08-03 19:27:26.205297 IP 60.195.124.238\r\n2010-08-03 19:27:26.601530 IP 60.195.124.238\r\n2010-08-03 20:22:20.046507 IP 189.107.24.115\r\n2010-08-03 21:31:46.417342 IP 200.252.61.5\r\n2010-08-03 23:06:29.001721 IP 200.252.67.194\r\n2010-08-03 23:39:52.022671 IP 200.252.59.194\r\n2010-08-04 01:01:48.582544 IP 200.252.55.9\r\n2010-08-04 01:06:26.379342 IP 200.252.16.180\r\n2010-08-04 03:39:29.641986 IP 61.251.176.29\r\n2010-08-04 03:39:30.015736 IP 61.251.176.29\r\n2010-08-04 06:09:36.519864 IP 68.169.176.89\r\n2010-08-04 06:09:36.683012 IP 68.169.176.89\r\n2010-08-04 06:41:36.830823 IP 80.183.103.193\r\n2010-08-04 06:41:37.136954 IP 80.183.103.193\r\n2010-08-04 07:33:28.368651 IP 200.252.76.101\r\n2010-08-04 08:31:13.581548 IP 119.175.16.243\r\n2010-08-04 08:31:13.947929 IP 119.175.16.243\r\n2010-08-04 09:21:37.754272 IP 63.81.251.30\r\n2010-08-04 09:21:39.806937 IP 63.81.251.30\r\n2010-08-04 09:31:37.037950 IP 200.252.130.65\r\n<\/pre>\n<h3>10:20 h<\/h3>\n<ul>\n<li>S\u00f3 para ter uma ideia de m\u00e1quinas Windows com v\u00edrus ou coisas correlatas, decidi ver os TCP resets emitidos. Veja a listagem at\u00e9 agora:<\/li>\n<\/ul>\n<pre style=\"padding-left: 30px;\">2010-08-03 19:04:33.674752 IP 201.240.72.50.3126 &gt; x.x.x.x.23: [S]\r\n2010-08-03 19:04:33.674884 IP x.x.x.x.23 &gt; 201.240.72.50.3126: [R.]\r\n2010-08-03 19:04:48.592490 IP 41.145.25.77.4688 &gt; x.x.x.x.23: [S]\r\n2010-08-03 19:04:48.592607 IP x.x.x.x.23 &gt; 41.145.25.77.4688: [R.]\r\n2010-08-03 19:22:17.514418 IP 200.252.13.18.1070 &gt; x.x.x.x.445: [S]\r\n2010-08-03 19:22:17.514532 IP x.x.x.x.445 &gt; 200.252.13.18.1070: [R.]\r\n2010-08-03 19:22:17.514664 IP 200.252.13.18.63371 &gt; x.x.x.x.139: [S]\r\n2010-08-03 19:22:17.514775 IP x.x.x.x.139 &gt; 200.252.13.18.1071: [R.]\r\n2010-08-03 19:22:17.514800 IP x.x.x.x.139 &gt; 200.252.13.18.63371: [R.]\r\n2010-08-03 19:22:17.859811 IP 200.252.13.18.63371 &gt; x.x.x.x.139: [S]\r\n2010-08-03 19:22:17.859922 IP x.x.x.x.139 &gt; 200.252.13.18.1071: [R.]\r\n2010-08-03 19:22:17.859949 IP x.x.x.x.139 &gt; 200.252.13.18.63371: [R.]\r\n2010-08-03 19:22:17.875350 IP 200.252.13.18.1070 &gt; x.x.x.x.445: [S]\r\n2010-08-03 19:22:17.875465 IP x.x.x.x.445 &gt; 200.252.13.18.1070: [R.]\r\n2010-08-03 19:22:18.406396 IP 200.252.13.18.1071 &gt; x.x.x.x.139: [S]\r\n2010-08-03 19:22:18.406510 IP x.x.x.x.139 &gt; 200.252.13.18.1071: [R.]\r\n2010-08-03 19:22:18.422025 IP 200.252.13.18.63371 &gt; x.x.x.x.139: [S]\r\n2010-08-03 19:22:18.422162 IP x.x.x.x.139 &gt; 200.252.13.18.63371: [R.]\r\n2010-08-03 19:22:18.531637 IP 200.252.13.18.1070 &gt; x.x.x.x.445: [S]\r\n2010-08-03 19:22:18.531859 IP x.x.x.x.445 &gt; 200.252.13.18.1070: [R.]\r\n2010-08-03 19:27:26.990938 IP 60.195.124.238.53364 &gt; x.x.x.x.139: [S]\r\n2010-08-03 19:27:26.991057 IP x.x.x.x.139 &gt; 60.195.124.238.53364: [R.]\r\n2010-08-03 19:27:27.806026 IP 60.195.124.238.53364 &gt; x.x.x.x.139: [S]\r\n2010-08-03 19:27:27.806141 IP x.x.x.x.139 &gt; 60.195.124.238.53364: [R.]\r\n2010-08-03 19:27:28.607119 IP 60.195.124.238.53364 &gt; x.x.x.x.139: [S]\r\n2010-08-03 19:27:28.607214 IP x.x.x.x.139 &gt; 60.195.124.238.53364: [R.]\r\n2010-08-03 19:27:32.993421 IP 60.195.124.238.53995 &gt; x.x.x.x.445: [S]\r\n2010-08-03 19:27:32.993537 IP x.x.x.x.445 &gt; 60.195.124.238.53995: [R.]\r\n2010-08-03 19:27:35.917854 IP 60.195.124.238.53995 &gt; x.x.x.x.445: [S]\r\n2010-08-03 19:27:35.917967 IP x.x.x.x.445 &gt; 60.195.124.238.53995: [R.]\r\n2010-08-03 20:22:20.266544 IP 189.107.24.115.12602 &gt; x.x.x.x.445: [S]\r\n2010-08-03 20:22:20.266697 IP x.x.x.x.445 &gt; 189.107.24.115.12602: [R.]\r\n2010-08-03 20:22:20.731732 IP 189.107.24.115.12602 &gt; x.x.x.x.445: [S]\r\n2010-08-03 20:22:20.731973 IP x.x.x.x.445 &gt; 189.107.24.115.12602: [R.]\r\n2010-08-03 20:22:21.273379 IP 189.107.24.115.12602 &gt; x.x.x.x.445: [S]\r\n2010-08-03 20:22:21.273526 IP x.x.x.x.445 &gt; 189.107.24.115.12602: [R.]\r\n2010-08-03 23:18:00.219049 IP 58.215.79.84.6000 &gt; x.x.x.x.9415: [S]\r\n2010-08-03 23:18:00.219959 IP x.x.x.x.9415 &gt; 58.215.79.84.6000: [R.]\r\n2010-08-03 23:31:53.948650 IP 218.175.146.176.2089 &gt; x.x.x.x.445: [S]\r\n2010-08-03 23:31:53.952306 IP x.x.x.x.445 &gt; 218.175.146.176.2089: [R.]\r\n2010-08-03 23:31:55.869555 IP 218.175.146.176.2089 &gt; x.x.x.x.445: [S]\r\n2010-08-03 23:31:55.869645 IP x.x.x.x.445 &gt; 218.175.146.176.2089: [R.]\r\n2010-08-03 23:36:48.848734 IP 200.32.172.184.3883 &gt; x.x.x.x.445: [S]\r\n2010-08-03 23:36:48.848844 IP x.x.x.x.445 &gt; 200.32.172.184.3883: [R.]\r\n2010-08-03 23:36:51.707795 IP 200.32.172.184.3883 &gt; x.x.x.x.445: [S]\r\n2010-08-03 23:36:51.707886 IP x.x.x.x.445 &gt; 200.32.172.184.3883: [R.]\r\n2010-08-03 23:39:52.264355 IP 200.252.59.194.1609 &gt; x.x.x.x.445: [S]\r\n2010-08-03 23:39:52.264458 IP x.x.x.x.445 &gt; 200.252.59.194.1609: [R.]\r\n2010-08-03 23:39:52.267255 IP 200.252.59.194.1610 &gt; x.x.x.x.139: [S]\r\n2010-08-03 23:39:52.267345 IP x.x.x.x.139 &gt; 200.252.59.194.1610: [R.]\r\n2010-08-03 23:39:52.821223 IP 200.252.59.194.1610 &gt; x.x.x.x.139: [S]\r\n2010-08-03 23:39:52.821315 IP x.x.x.x.139 &gt; 200.252.59.194.1610: [R.]\r\n2010-08-03 23:39:52.825174 IP 200.252.59.194.1609 &gt; x.x.x.x.445: [S]\r\n2010-08-03 23:39:52.825264 IP x.x.x.x.445 &gt; 200.252.59.194.1609: [R.]\r\n2010-08-03 23:39:53.604568 IP 200.252.59.194.1610 &gt; x.x.x.x.139: [S]\r\n2010-08-03 23:39:53.604734 IP x.x.x.x.445 &gt; 200.252.59.194.1609: [R.]\r\n2010-08-03 23:39:53.604761 IP x.x.x.x.139 &gt; 200.252.59.194.1610: [R.]\r\n2010-08-03 23:53:27.337014 IP 41.250.160.206.4127 &gt; x.x.x.x.23: [S]\r\n2010-08-03 23:53:27.340306 IP x.x.x.x.23 &gt; 41.250.160.206.4127: [R.]\r\n2010-08-03 23:58:38.434406 IP 222.186.25.143.6000 &gt; x.x.x.x.9415: [S]\r\n2010-08-03 23:58:38.434513 IP x.x.x.x.9415 &gt; 222.186.25.143.6000: [R.]\r\n2010-08-04 00:06:00.316734 IP 58.215.79.202.6000 &gt; x.x.x.x.9415: [S]\r\n2010-08-04 00:06:00.316832 IP x.x.x.x.9415 &gt; 58.215.79.202.6000: [R.]\r\n2010-08-04 00:08:21.859852 IP 196.204.141.8.3970 &gt; x.x.x.x.1433: [S]\r\n2010-08-04 00:08:21.859959 IP x.x.x.x.1433 &gt; 196.204.141.8.3970: [R.]\r\n2010-08-04 00:08:22.510285 IP 196.204.141.8.3970 &gt; x.x.x.x.1433: [S]\r\n2010-08-04 00:08:22.510378 IP x.x.x.x.1433 &gt; 196.204.141.8.3970: [R.]\r\n2010-08-04 00:08:23.275186 IP 196.204.141.8.3970 &gt; x.x.x.x.1433: [S]\r\n2010-08-04 00:08:23.275353 IP x.x.x.x.1433 &gt; 196.204.141.8.3970: [R.]\r\n2010-08-04 00:11:35.799521 IP 217.219.23.166.3094 &gt; x.x.x.x.445: [S]\r\n2010-08-04 00:11:35.799617 IP x.x.x.x.445 &gt; 217.219.23.166.3094: [R.]\r\n2010-08-04 00:47:12.982595 IP 218.56.160.61.2477 &gt; x.x.x.x.4899: [S]\r\n2010-08-04 00:47:12.984326 IP x.x.x.x.4899 &gt; 218.56.160.61.2477: [R.]\r\n2010-08-04 00:47:13.836599 IP 218.56.160.61.2477 &gt; x.x.x.x.4899: [S]\r\n2010-08-04 00:47:13.836691 IP x.x.x.x.4899 &gt; 218.56.160.61.2477: [R.]\r\n2010-08-04 00:47:14.643027 IP 218.56.160.61.2477 &gt; x.x.x.x.4899: [S]\r\n2010-08-04 00:47:14.643184 IP x.x.x.x.4899 &gt; 218.56.160.61.2477: [R.]\r\n2010-08-04 01:01:48.713103 IP 200.252.55.9.62558 &gt; x.x.x.x.445: [S]\r\n2010-08-04 01:01:48.713197 IP x.x.x.x.445 &gt; 200.252.55.9.62558: [R.]\r\n2010-08-04 01:01:48.714286 IP 200.252.55.9.62559 &gt; x.x.x.x.139: [S]\r\n2010-08-04 01:01:48.714401 IP x.x.x.x.139 &gt; 200.252.55.9.62559: [R.]\r\n2010-08-04 01:01:48.715810 IP 200.252.55.9.62560 &gt; x.x.x.x.139: [S]\r\n2010-08-04 01:01:48.715897 IP x.x.x.x.139 &gt; 200.252.55.9.62560: [R.]\r\n2010-08-04 01:01:49.190492 IP 200.252.55.9.62560 &gt; x.x.x.x.139: [S]\r\n2010-08-04 01:01:49.190583 IP x.x.x.x.139 &gt; 200.252.55.9.62560: [R.]\r\n2010-08-04 01:01:49.192387 IP 200.252.55.9.62558 &gt; x.x.x.x.445: [S]\r\n2010-08-04 01:01:49.192476 IP x.x.x.x.445 &gt; 200.252.55.9.62558: [R.]\r\n2010-08-04 01:01:49.737738 IP 200.252.55.9.62560 &gt; x.x.x.x.139: [S]\r\n2010-08-04 01:01:49.737840 IP x.x.x.x.139 &gt; 200.252.55.9.62560: [R.]\r\n2010-08-04 01:01:49.738908 IP 200.252.55.9.62558 &gt; x.x.x.x.445: [S]\r\n2010-08-04 01:01:49.739025 IP x.x.x.x.445 &gt; 200.252.55.9.62558: [R.]\r\n2010-08-04 01:01:51.597553 IP 200.252.55.9.62559 &gt; x.x.x.x.139: [S]\r\n2010-08-04 01:01:51.597643 IP x.x.x.x.139 &gt; 200.252.55.9.62559: [R.]\r\n2010-08-04 01:01:57.617015 IP 200.252.55.9.62559 &gt; x.x.x.x.139: [S]\r\n2010-08-04 01:01:57.617148 IP x.x.x.x.139 &gt; 200.252.55.9.62559: [R.]\r\n2010-08-04 01:06:32.120233 IP 200.252.16.180.20029 &gt; x.x.x.x.445: [S]\r\n2010-08-04 01:06:32.120327 IP x.x.x.x.445 &gt; 200.252.16.180.20029: [R.]\r\n2010-08-04 01:06:32.120595 IP 200.252.16.180.20030 &gt; x.x.x.x.139: [S]\r\n2010-08-04 01:06:32.120683 IP x.x.x.x.139 &gt; 200.252.16.180.20030: [R.]\r\n2010-08-04 01:06:32.671419 IP 200.252.16.180.20030 &gt; x.x.x.x.139: [S]\r\n2010-08-04 01:06:32.671509 IP x.x.x.x.139 &gt; 200.252.16.180.20030: [R.]\r\n2010-08-04 01:06:32.671920 IP 200.252.16.180.20029 &gt; x.x.x.x.445: [S]\r\n2010-08-04 01:06:32.672008 IP x.x.x.x.445 &gt; 200.252.16.180.20029: [R.]\r\n2010-08-04 01:06:33.108411 IP 200.252.16.180.20030 &gt; x.x.x.x.139: [S]\r\n2010-08-04 01:06:33.108526 IP x.x.x.x.139 &gt; 200.252.16.180.20030: [R.]\r\n2010-08-04 01:06:33.109059 IP 200.252.16.180.20029 &gt; x.x.x.x.445: [S]\r\n2010-08-04 01:06:33.109168 IP x.x.x.x.445 &gt; 200.252.16.180.20029: [R.]\r\n2010-08-04 02:13:04.460384 IP 58.57.9.44.6000 &gt; x.x.x.x.3389: [S]\r\n2010-08-04 02:13:04.460596 IP x.x.x.x.3389 &gt; 58.57.9.44.6000: [R.]\r\n2010-08-04 02:36:32.697229 IP 220.226.18.10.6000 &gt; x.x.x.x.1433: [S]\r\n2010-08-04 02:36:32.704499 IP x.x.x.x.1433 &gt; 220.226.18.10.6000: [R.]\r\n2010-08-04 03:16:03.154845 IP 59.94.130.220.9989 &gt; x.x.x.x.139: [S]\r\n2010-08-04 03:16:03.156371 IP x.x.x.x.139 &gt; 59.94.130.220.9989: [R.]\r\n2010-08-04 03:16:10.370418 IP 59.94.130.220.9989 &gt; x.x.x.x.139: [S]\r\n2010-08-04 03:16:10.370508 IP x.x.x.x.139 &gt; 59.94.130.220.9989: [R.]\r\n2010-08-04 03:39:30.377836 IP 61.251.176.29.3040 &gt; x.x.x.x.139: [S]\r\n2010-08-04 03:39:30.377930 IP x.x.x.x.139 &gt; 61.251.176.29.3040: [R.]\r\n2010-08-04 03:39:31.129670 IP 61.251.176.29.3040 &gt; x.x.x.x.139: [S]\r\n2010-08-04 03:39:31.129762 IP x.x.x.x.139 &gt; 61.251.176.29.3040: [R.]\r\n2010-08-04 03:39:32.016606 IP 61.251.176.29.3040 &gt; x.x.x.x.139: [S]\r\n2010-08-04 03:39:32.016710 IP x.x.x.x.139 &gt; 61.251.176.29.3040: [R.]\r\n2010-08-04 03:51:01.001740 IP 124.172.159.228.6000 &gt; x.x.x.x.9415: [S]\r\n2010-08-04 03:51:01.003497 IP x.x.x.x.9415 &gt; 124.172.159.228.6000: [R.]\r\n2010-08-04 03:56:48.153734 IP 74.208.197.77.4763 &gt; x.x.x.x.5900: [S]\r\n2010-08-04 03:56:48.156272 IP x.x.x.x.5900 &gt; 74.208.197.77.4763: [R.]\r\n2010-08-04 03:56:48.843364 IP 74.208.197.77.4763 &gt; x.x.x.x.5900: [S]\r\n2010-08-04 03:56:48.843457 IP x.x.x.x.5900 &gt; 74.208.197.77.4763: [R.]\r\n2010-08-04 03:56:49.389654 IP 74.208.197.77.4763 &gt; x.x.x.x.5900: [S]\r\n2010-08-04 03:56:49.389789 IP x.x.x.x.5900 &gt; 74.208.197.77.4763: [R.]\r\n2010-08-04 04:45:46.099151 IP 78.183.144.144.2131 &gt; x.x.x.x.23: [S]\r\n2010-08-04 04:45:46.100313 IP x.x.x.x.23 &gt; 78.183.144.144.2131: [R.]\r\n2010-08-04 05:10:18.061284 IP 118.168.134.220.1082 &gt; x.x.x.x.3128: [S]\r\n2010-08-04 05:10:18.063497 IP x.x.x.x.3128 &gt; 118.168.134.220.1082: [R.]\r\n2010-08-04 05:10:18.860405 IP 118.168.134.220.1082 &gt; x.x.x.x.3128: [S]\r\n2010-08-04 05:10:18.860497 IP x.x.x.x.3128 &gt; 118.168.134.220.1082: [R.]\r\n2010-08-04 05:10:19.727480 IP 118.168.134.220.1082 &gt; x.x.x.x.3128: [S]\r\n2010-08-04 05:10:19.727568 IP x.x.x.x.3128 &gt; 118.168.134.220.1082: [R.]\r\n2010-08-04 06:09:36.842784 IP 68.169.176.89.29467 &gt; x.x.x.x.139: [S]\r\n2010-08-04 06:09:36.842943 IP x.x.x.x.139 &gt; 68.169.176.89.29467: [R.]\r\n2010-08-04 06:09:37.489436 IP 68.169.176.89.29467 &gt; x.x.x.x.139: [S]\r\n2010-08-04 06:09:37.489527 IP x.x.x.x.139 &gt; 68.169.176.89.29467: [R.]\r\n2010-08-04 06:09:38.091033 IP 68.169.176.89.29467 &gt; x.x.x.x.139: [S]\r\n2010-08-04 06:09:38.091125 IP x.x.x.x.139 &gt; 68.169.176.89.29467: [R.]\r\n2010-08-04 06:09:42.849257 IP 68.169.176.89.30144 &gt; x.x.x.x.445: [S]\r\n2010-08-04 06:09:42.849350 IP x.x.x.x.445 &gt; 68.169.176.89.30144: [R.]\r\n2010-08-04 06:09:43.498862 IP 68.169.176.89.30144 &gt; x.x.x.x.445: [S]\r\n2010-08-04 06:09:43.498952 IP x.x.x.x.445 &gt; 68.169.176.89.30144: [R.]\r\n2010-08-04 06:09:44.097595 IP 68.169.176.89.30144 &gt; x.x.x.x.445: [S]\r\n2010-08-04 06:09:44.097685 IP x.x.x.x.445 &gt; 68.169.176.89.30144: [R.]\r\n2010-08-04 06:41:37.440980 IP 80.183.103.193.41973 &gt; x.x.x.x.139: [S]\r\n2010-08-04 06:41:37.441075 IP x.x.x.x.139 &gt; 80.183.103.193.41973: [R.]\r\n2010-08-04 06:41:38.250208 IP 80.183.103.193.41973 &gt; x.x.x.x.139: [S]\r\n2010-08-04 06:41:38.250299 IP x.x.x.x.139 &gt; 80.183.103.193.41973: [R.]\r\n2010-08-04 06:41:38.947670 IP 80.183.103.193.41973 &gt; x.x.x.x.139: [S]\r\n2010-08-04 06:41:38.947761 IP x.x.x.x.139 &gt; 80.183.103.193.41973: [R.]\r\n2010-08-04 06:41:43.441575 IP 80.183.103.193.42716 &gt; x.x.x.x.445: [S]\r\n2010-08-04 06:41:43.441665 IP x.x.x.x.445 &gt; 80.183.103.193.42716: [R.]\r\n2010-08-04 06:41:44.169465 IP 80.183.103.193.42716 &gt; x.x.x.x.445: [S]\r\n2010-08-04 06:41:44.169552 IP x.x.x.x.445 &gt; 80.183.103.193.42716: [R.]\r\n2010-08-04 06:41:44.962688 IP 80.183.103.193.42716 &gt; x.x.x.x.445: [S]\r\n2010-08-04 06:41:44.962779 IP x.x.x.x.445 &gt; 80.183.103.193.42716: [R.]\r\n2010-08-04 07:33:49.605152 IP 200.252.76.101.62341 &gt; x.x.x.x.445: [S]\r\n2010-08-04 07:33:49.605250 IP x.x.x.x.445 &gt; 200.252.76.101.62341: [R.]\r\n2010-08-04 07:33:49.605824 IP 200.252.76.101.62342 &gt; x.x.x.x.139: [S]\r\n2010-08-04 07:33:49.605911 IP x.x.x.x.139 &gt; 200.252.76.101.62342: [R.]\r\n2010-08-04 07:33:49.606176 IP 200.252.76.101.62343 &gt; x.x.x.x.139: [S]\r\n2010-08-04 07:33:49.606261 IP x.x.x.x.139 &gt; 200.252.76.101.62343: [R.]\r\n2010-08-04 07:33:50.086681 IP 200.252.76.101.62342 &gt; x.x.x.x.139: [S]\r\n2010-08-04 07:33:50.086772 IP x.x.x.x.139 &gt; 200.252.76.101.62342: [R.]\r\n2010-08-04 07:33:50.087365 IP 200.252.76.101.62341 &gt; x.x.x.x.445: [S]\r\n2010-08-04 07:33:50.087452 IP x.x.x.x.445 &gt; 200.252.76.101.62341: [R.]\r\n2010-08-04 07:33:50.524591 IP 200.252.76.101.62342 &gt; x.x.x.x.139: [S]\r\n2010-08-04 07:33:50.524759 IP x.x.x.x.139 &gt; 200.252.76.101.62342: [R.]\r\n2010-08-04 07:33:50.524975 IP 200.252.76.101.62341 &gt; x.x.x.x.445: [S]\r\n2010-08-04 07:33:50.525062 IP x.x.x.x.445 &gt; 200.252.76.101.62341: [R.]\r\n2010-08-04 07:33:52.604693 IP 200.252.76.101.62343 &gt; x.x.x.x.139: [S]\r\n2010-08-04 07:33:52.604849 IP x.x.x.x.139 &gt; 200.252.76.101.62343: [R.]\r\n2010-08-04 07:33:58.727620 IP 200.252.76.101.62343 &gt; x.x.x.x.139: [S]\r\n2010-08-04 07:33:58.727711 IP x.x.x.x.139 &gt; 200.252.76.101.62343: [R.]\r\n2010-08-04 08:27:13.087499 IP 122.226.223.134.6000 &gt; x.x.x.x.9415: [S]\r\n2010-08-04 08:27:13.088122 IP x.x.x.x.9415 &gt; 122.226.223.134.6000: [R.]\r\n<\/pre>\n<ul>\n<li>Ao analisar a listagem anterior, lembre-se de que na m\u00e1quina s\u00f3 h\u00e1 as portas 22 e 80 abertas para fora.<\/li>\n<\/ul>\n<ul>\n<li>Estou atento ao samhaim e ao Iptraf. Vamos esperar novidades mais concretas. Assim que tiver algo, posto aqui.<\/li>\n<\/ul>\n<h3>10:40 h<\/h3>\n<ul>\n<li>Novidades. Movimento intenso no Iptraf. \u00c9 algu\u00e9m do nosso querido Brasil atancando com vontade. IP 187.50.126.38. Tudo indica que vem de S\u00e3o Paulo (conclus\u00e3o via traceroute interrompido pela metade e whois). Mas esse IP j\u00e1 apareceu antes. Assim que ele terminar, posto algo aqui. Acho que n\u00e3o demora.<\/li>\n<\/ul>\n<h3>10:53 h<\/h3>\n<ul>\n<li>Parece que terminou. Fiz dumps de mem\u00f3ria seguidos para verificar os logs l\u00e1 por dentro. Foram 18 minutos de tentativas. Isso rendeu 353 tentativas. Veja a primeira e a \u00faltima linha:<\/li>\n<\/ul>\n<p style=\"padding-left: 30px;\">Aug\u00a0 4 10:30:02 server sshd[2359]: Failed password for root from 187.50.126.38 port 43061 ssh2<\/p>\n<p style=\"padding-left: 30px;\">&#8230;<\/p>\n<p style=\"padding-left: 30px;\">Aug\u00a0 4 10:48:11 server sshd[3095]: Failed password for root from 187.50.126.38 port 60030 ssh2<\/p>\n<h3>11:07 h<\/h3>\n<ul>\n<li>Entrou! (num bom sentido)<\/li>\n<\/ul>\n<ul>\n<li>No post das 10:53 h eu estava procurando apenas por logins com falha. Mas, olhando com mais cuidado agora, veja:<\/li>\n<\/ul>\n<pre style=\"padding-left: 30px;\">Aug\u00a0 4 10:30:10 server sshd[2366]: <strong>Accepted password for root from 187.50.126.38<\/strong> port 43338 ssh2<\/pre>\n<ul>\n<li>Ou seja: esse cara tem um bot e ainda n\u00e3o viu que o mesmo conseguiu coletar a senha de root correta. Com certeza, mais tarde, ele vai ver e atuar. Isso se n\u00e3o estiver acompanhando estes posts! \ud83d\ude42<\/li>\n<li>O pior \u00e9 que \u00e9 um rob\u00f4 burro, porque conseguiu a senha no primeiro minuto e continuou tentando. \ud83d\ude00<\/li>\n<\/ul>\n<h3>11:37 h<\/h3>\n<ul>\n<li><strong>Perguntas?<\/strong> V\u00e3o fazendo que eu vou olhando tr\u00e1fego, mem\u00f3ria etc. e vou respondendo.<\/li>\n<\/ul>\n<h3>12:35 h<\/h3>\n<ul>\n<li>Tudo calmo&#8230;<\/li>\n<\/ul>\n<h3>14:06 h<\/h3>\n<ul>\n<li>Um scan agora h\u00e1 pouco.<\/li>\n<\/ul>\n<pre style=\"padding-left: 30px;\">Aug\u00a0 4 14:03:01 server sshd[3383]: Did not receive identification string from 200.161.99.38\r\n<\/pre>\n<h3>14:30 h<\/h3>\n<ul>\n<li>Para o Paulo (veja l\u00e1 em baixo nos coment\u00e1rios): uma foto do Iptraf em a\u00e7\u00e3o.<\/li>\n<\/ul>\n<h3><a href=\"http:\/\/www.eriberto.pro.br\/blog\/wp-content\/uploads\/2010\/08\/iptraf.png\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-441\" title=\"iptraf\" src=\"http:\/\/www.eriberto.pro.br\/blog\/wp-content\/uploads\/2010\/08\/iptraf.png\" alt=\"\" width=\"311\" height=\"326\" srcset=\"https:\/\/eriberto.pro.br\/blog\/wp-content\/uploads\/2010\/08\/iptraf.png 311w, https:\/\/eriberto.pro.br\/blog\/wp-content\/uploads\/2010\/08\/iptraf-286x300.png 286w\" sizes=\"auto, (max-width: 311px) 100vw, 311px\" \/><\/a>17:55 h<\/h3>\n<ul>\n<li>Bem, foi uma tarde calma e serena. Podemos concluir algo at\u00e9 aqui: quartas-feiras s\u00e3o dias bem seguros. Ningu\u00e9m nunca lhe atacar\u00e1. Nem quem j\u00e1 tem a sua senha de root. Bom, de noite darei uma olhadinha na situa\u00e7\u00e3o e, havendo novidades, informo aqui. T+<\/li>\n<\/ul>\n<h3>22:10 h<\/h3>\n<ul>\n<li>Nenhuma novidade. Vou dormir. Amanh\u00e3 voltarei a monitorar a situa\u00e7\u00e3o. Vamos ver se acontece algo na madrugada. []s a todos!<\/li>\n<\/ul>\n<h2>Dia 05 ago. 2010<\/h2>\n<h3>06:25 h<\/h3>\n<ul>\n<li>Bom dia a todos! H\u00e1 pouco o milagre da vida aconteceu novamente. Veio da <strong>China<\/strong>. Vejam:<\/li>\n<\/ul>\n<pre style=\"padding-left: 30px;\">Aug\u00a0 5 05:36:29 server sshd[4743]: Failed password for root from 219.143.125.205 port 54497 ssh2<\/pre>\n<pre style=\"padding-left: 30px;\">Aug\u00a0 5 05:36:35 server sshd[4746]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=219.143.125.205\u00a0 user=root<\/pre>\n<pre style=\"padding-left: 30px;\">Aug\u00a0 5 05:36:37 server sshd[4746]: Failed password for root from 219.143.125.205 port 54843 ssh2<\/pre>\n<pre style=\"padding-left: 30px;\">Aug\u00a0 5 05:36:42 server sshd[4748]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=219.143.125.205\u00a0 user=root<\/pre>\n<pre style=\"padding-left: 30px;\">Aug\u00a0 5 05:36:45 server sshd[4748]: Failed password for root from 219.143.125.205 port 55161 ssh2<\/pre>\n<pre style=\"padding-left: 30px;\">Aug\u00a0 5 05:36:50 server sshd[4750]: <strong>Accepted password for root from 219.143.125.205<\/strong> port 55493 ssh2<\/pre>\n<ul>\n<li>Bem, at\u00e9 agora o samhain est\u00e1 quieto. Isso quer dizer que ele entrou mas nada fez de relevante. Ent\u00e3o, como ainda est\u00e1 anoitecendo na China, creio que mais tarde as coisas ir\u00e3o esquentar. Vamos esperar mais uma vez&#8230; Mas o samhain est\u00e1 funcionando. Vejam o \u00faltimo log dele na mem\u00f3ria:<\/li>\n<\/ul>\n<pre style=\"padding-left: 30px;\">INFO\u00a0\u00a0 :\u00a0 [2010-08-05T04:46:15-0300] msg=&lt;Checking&gt;, path=&lt;\/etc\/samhain&gt;<\/pre>\n<ul>\n<li>Ele ainda n\u00e3o enviou nada porque a sua configura\u00e7\u00e3o default \u00e9 enviar somente eventos do n\u00edvel CRIT. Volto mais tarde com novas not\u00edcias.<\/li>\n<\/ul>\n<h3>11:05 h<\/h3>\n<ul>\n<li>Bem, ningu\u00e9m entrou efetivamente ainda. Mas v\u00e1rios fizeram scaneamento com nmap e similares. O nmap, no modo normal de opera\u00e7\u00e3o (TCP scan), envia uma flag TCP Syn para a porta. Se ela responder com Syn\/Ack \u00e9 porque est\u00e1 aberta. Ent\u00e3o, para evitar ser logado, o nmap envia um Rst para a porta.<\/li>\n<li>At\u00e9 o presente momento, a nossa porta 22 recebeu 133 resets de 12 m\u00e1quinas diferentes. A seguir, a lista das m\u00e1quinas que fizeram isso (fora as m\u00e1quinas que adotaram outros tipos de procedimentos):<\/li>\n<\/ul>\n<pre style=\"padding-left: 30px;\">61.129.86.186: CN, China<\/pre>\n<pre style=\"padding-left: 30px;\">91.188.59.62: LV, Latvia<\/pre>\n<pre style=\"padding-left: 30px;\">94.138.164.155: IT, Italy<\/pre>\n<pre style=\"padding-left: 30px;\">95.0.85.118: TR, Turkey<\/pre>\n<pre style=\"padding-left: 30px;\">98.173.22.178: US, United States<\/pre>\n<pre style=\"padding-left: 30px;\">115.165.163.55: VN, Vietnam<\/pre>\n<pre style=\"padding-left: 30px;\">123.150.196.38: CN, China<\/pre>\n<pre style=\"padding-left: 30px;\">124.31.204.185: CN, China<\/pre>\n<pre style=\"padding-left: 30px;\">187.50.126.38: BR, Brazil<\/pre>\n<pre style=\"padding-left: 30px;\">200.161.99.38: BR, Brazil<\/pre>\n<pre style=\"padding-left: 30px;\">202.201.14.252: CN, China<\/pre>\n<pre style=\"padding-left: 30px;\">219.143.125.205: CN, China\r\n<\/pre>\n<h3>20:45 h<\/h3>\n<ul>\n<li>Boa noite pessoal. N\u00e3o tivemos grandes novidades hoje. No entanto, mais uma m\u00e1quina da China conseguiu o acesso \u00e0 m\u00e1quina. No entanto, n\u00e3o houve atua\u00e7\u00e3o da mesma, o que nos leva a crer que era mais um bot com um dono (ser humano) desatento. Veja:<\/li>\n<\/ul>\n<pre style=\"padding-left: 30px;\">Aug\u00a0 5 13:44:00 server sshd[5578]: Accepted password for root from 61.164.108.149 port 51914 ssh2\r\n<\/pre>\n<ul>\n<li>O bot scaneou a rede por 16 minutos, at\u00e9 obter \u00eaxito. Foram 115 tentativas at\u00e9 o sucesso.<\/li>\n<li>Ser\u00e1 que a noite ser\u00e1 promissora? Bem, se for, saberemos amanh\u00e3.<\/li>\n<\/ul>\n<h2>Dia 06 ago. 2010<\/h2>\n<h3>09:30 h<\/h3>\n<ul>\n<li>Bom dia a todos! Desculpem o atraso. As coisas est\u00e3o meio complicadas. Muitos contratempos de vida&#8230; Mas vamos \u00e0s not\u00edcias.<\/li>\n<\/ul>\n<ul>\n<li>Ontem, depois das 23 h, mais duas m\u00e1quinas conseguiram obter a senha do root. Vejam:<\/li>\n<\/ul>\n<pre style=\"padding-left: 30px;\">Aug\u00a0 5 23:09:58 server sshd[6635]: Accepted password for root from 209.195.11.34 port 36680 ssh2\r\nAug\u00a0 5 23:28:10 server sshd[6686]: Accepted password for root from 95.104.114.44 port 20370 ssh2<\/pre>\n<ul>\n<li>A m\u00e1quina 209.195.11.34 (USA) fez 13 tentativas at\u00e9 chegar \u00e0 senha. Foi cerca de 1 minuto de tentativas.<\/li>\n<li>A m\u00e1quina 95.104.114.44 (Ge\u00f3rgia) foi mais interessante. Ela entrou de primeira. Tudo leva a crer que algu\u00e9m j\u00e1 colheu a senha em algum bot e a divulgou ou, se n\u00e3o, fez uma ponte pela Ge\u00f3rgia. Ou, ainda, tinha feito uma ponte partindo da Ge\u00f3rgia e passando por outro lugar anteriormente.<\/li>\n<li>Bem, o fato \u00e9 que podem at\u00e9 ter entrado e navegado l\u00e1 dentro. Mas, at\u00e9 agora, ningu\u00e9m modificou nada, pois o samhain acusaria. E ele ainda est\u00e1 no ar, operando normalmente. Vejam a \u00faltima mensagem dele que colhi no dump de mem\u00f3ria:<\/li>\n<\/ul>\n<pre style=\"padding-left: 30px;\">INFO\u00a0\u00a0 :\u00a0 [2010-08-06T08:49:37-0300] msg=&lt;Checking&gt;, path=&lt;\/var\/run\/utmp&gt;\r\n<\/pre>\n<ul>\n<li>No mais, hoje \u00e9 sexta-feira, dia internacional da invas\u00e3o. Ser\u00e1 que rola hoje?<\/li>\n<\/ul>\n<h3>11:55 h<\/h3>\n<ul>\n<li>Entraram! Est\u00e3o conversando l\u00e1 dentro conectados a IRC. Vou publicar a conversa j\u00e1 j\u00e1.<\/li>\n<\/ul>\n<h3>12:03 h<\/h3>\n<ul>\n<li>Est\u00e3o procurando portas 22 abertas na rede 86.0.0.0\/8 a partir da m\u00e1quina. A m\u00e1quina virou um bot!!!<\/li>\n<\/ul>\n<h3>12:28 h<\/h3>\n<ul>\n<li>A conversa (da 11:42 h \u00e0s 12:27): <a href=\"http:\/\/www.eriberto.pro.br\/files\/chat_06ago_1142_1227.gz\">http:\/\/www.eriberto.pro.br\/files\/chat_06ago_1142_1227.gz<\/a><\/li>\n<li>Daqui a pouco coloco mais novidades.<\/li>\n<\/ul>\n<h3>12:50 h<\/h3>\n<ul>\n<li>Desculpem o desaparecimento. Perdi um pouco do controle da rede. Come\u00e7aram a usar toda a banda. Fiquei sem Internet para mim. \ud83d\ude42<\/li>\n<li>Para corrigir o problema, fiz um HTB para controlar o tr\u00e1fego. Refer\u00eancias: <a href=\"http:\/\/www.eriberto.pro.br\/palestras\/controle_trafego.pdf\">http:\/\/www.eriberto.pro.br\/palestras\/controle_trafego.pdf<\/a> .<\/li>\n<li>Vou almo\u00e7ar voando e j\u00e1 volto. Ah, est\u00e3o scaneando portas 22 na rede 94.0.0.0\/8!<\/li>\n<\/ul>\n<h3>13:25 h<\/h3>\n<ul>\n<li>De volta do almo\u00e7o.<\/li>\n<\/ul>\n<ul>\n<li>Finalmente um e-mail do samhain! Vejam:<\/li>\n<\/ul>\n<p style=\"padding-left: 30px;\">[2010-08-06T12:50:08-0300] <a href=\"http:\/\/server.projirradiante.com.br\/\" target=\"_blank\">server.projirradiante.com.br<\/a><br \/>\nCRIT \u00a0 : <strong> [2010-08-06T12:49:55-0300]<\/strong> msg=&lt;POLICY [ReadOnly] C&#8211;I&#8212;-T-&gt;, path=&lt;<strong>\/etc\/shadow<\/strong>&gt;, inode_old=&lt;13300&gt;, inode_new=&lt;17168&gt;, dev_old=&lt;202,1&gt;, dev_new=&lt;202,1&gt;, ctime_old=&lt;[2010-08-03T21:34:30]&gt;, ctime_new=&lt;[2010-08-06T14:51:17]&gt;, mtime_old=&lt;[2010-08-03T21:34:30]&gt;, <strong>mtime_new=&lt;[2010-08-06T14:51:17]&gt;<\/strong>, chksum_old=&lt;4E3A8F642C54E0ABD1310A03A7BEFA954DC4EBEBA6349BB5&gt;, chksum_new=&lt;A91AC2692A353AD96F399F994CAE602A575CA16149CDDC36&gt;,<\/p>\n<ul>\n<li>O arquivo<em> \/etc\/shadow<\/em> foi modificado. Ou seja: ou trocaram a a senha de algum usu\u00e1rio ou adicionaram um usu\u00e1rio. Mas se tivessem adicionado um usu\u00e1rio, o arquivo <em>\/etc\/passwd<\/em> tamb\u00e9m teria sido alterado. Vamos conferir se h\u00e1 algum log no dump de mem\u00f3ria:<\/li>\n<\/ul>\n<pre style=\"padding-left: 30px;\"># strings memoria.dd |grep passwd|grep root<\/pre>\n<pre style=\"padding-left: 30px;\">Aug\u00a0 6 11:51:17 server passwd[17395]: pam_unix(passwd:chauthtok): password changed for root<\/pre>\n<ul>\n<li>Agora, realmente, n\u00e3o sei dizer se o hor\u00e1rio interno da m\u00e1quina foi modificado tamb\u00e9m. Os hor\u00e1rios parecem ter uma defasagem de 1 hora.<\/li>\n<li>Vamos ver tudo o que ocorreu entre 11:40 e 11:59 (exceto evntos corriqueiros de cron):<\/li>\n<\/ul>\n<pre style=\"padding-left: 30px;\"># strings memoria.dd |grep \"Aug\u00a0 6 11:[45]\"|grep -v CRON|sort -n\r\nAug\u00a0 6 11:42:42 server crontab[17311]: (root) REPLACE (root)\r\nAug\u00a0 6 11:42:42 server crontab[17313]: (root) LIST (root)\r\nAug\u00a0 6 11:42:51 server crontab[17331]: (root) REPLACE (root)\r\nAug\u00a0 6 11:42:51 server crontab[17332]: (root) LIST (root)\r\nAug\u00a0 6 11:51:17 server passwd[17395]: pam_unix(passwd:chauthtok): password changed for root<\/pre>\n<ul>\n<li>Ok! Bem, vamos em frente!<\/li>\n<\/ul>\n<h3>13:47 h<\/h3>\n<ul>\n<li>As coisas aqui est\u00e3o lentas. Muito tr\u00e1fego e uso de CPU.<\/li>\n<li>Bem, eles j\u00e1 trocaram a senha de root, conectaram a chat, scanearam redes etc. Acho que est\u00e1 na hora de derrubar o server e disponibilizar a mem\u00f3ria. O que acham? Respondam aqui&#8230;<\/li>\n<\/ul>\n<h3>14:52 h<\/h3>\n<ul>\n<li>Terminado pessoal. Estavam fazendo ataques pesados e grande parte da mem\u00f3ria foi tomada por listas de nomes de usu\u00e1rios e senhas (dicion\u00e1rios). Vou preparar tudo para download. Daqui a pouco estar\u00e1 dispon\u00edvel.<\/li>\n<\/ul>\n<h3>16:07 h &#8211; <span style=\"color: #ff0000;\">DOWNLOAD DA IMAGEM DA MEM\u00d3RIA!<\/span><\/h3>\n<ul>\n<li>Dispon\u00edvel o dump da mem\u00f3ria RAM em <a href=\"http:\/\/www.eriberto.pro.br\/forense\/caso_03\">http:\/\/www.eriberto.pro.br\/forense\/caso_03<\/a> (8.4 MBcomprimidos, 61 MB descomprimidos).<\/li>\n<\/ul>\n<h3>16:46<\/h3>\n<ul>\n<li>Vai ser liberada a imagem do disco&#8230;<\/li>\n<\/ul>\n<h3>18:31 &#8211; <span style=\"color: #ff0000;\">DOWNLOAD DA IMAGEM DA PARTI\u00c7\u00c3O!<\/span><\/h3>\n<ul>\n<li>Dispon\u00edvel a imagem da parti\u00e7\u00e3o que continha a m\u00e1quina virtual em <a href=\"http:\/\/www.eriberto.pro.br\/forense\/caso_03\">http:\/\/www.eriberto.pro.br\/forense\/caso_03<\/a> (150 MBcomprimidos, 954 MB descomprimidos).<\/li>\n<li>Notem que foi utilizado swap em arquivo. Como a mem\u00f3ria era pequena, muita coisa foi pagina em swap&#8230;\u00a0 \ud83d\ude09<\/li>\n<\/ul>\n<h2>Dia 07 ago. 2010<\/h2>\n<h3>08:10 h<\/h3>\n<ul>\n<li>Bom dia a todos! O nosso caso, mesmo encerrado, continua fazendo sucesso. Isso \u00e9 \u00f3timo.<\/li>\n<li>O <a href=\"http:\/\/dicas-l.com.br\">Dicas-L<\/a> publicou hoje um artigo meu sobre seguran\u00e7a SSH com fail2ban e samhain. Est\u00e1 dispon\u00edvel em <a href=\"http:\/\/dicas-l.com.br\/arquivo\/dando_mais_seguranca_ao_servico_ssh_com_fail2ban_e_samhain.php\">http:\/\/dicas-l.com.br\/arquivo\/dando_mais_seguranca_ao_servico_ssh_com_fail2ban_e_samhain.php<\/a> ou <a href=\"http:\/\/bit.ly\/dicasl_ssh_fail2ban_samhain\">http:\/\/bit.ly\/dicasl_ssh_fail2ban_samhain<\/a>.<\/li>\n<li>Tamb\u00e9m esqueci de falar sobre o artigo no meu wiki ensinando a fazer a m\u00e1quina isca, igual \u00e0 que eu fiz. N\u00e3o est\u00e1 pronto ainda. Mas pode ser visto em <a title=\"http:\/\/bit.ly\/iscaforense\" rel=\"nofollow\" href=\"http:\/\/bit.ly\/iscaforense\">http:\/\/bit.ly\/iscaforense<\/a>. J\u00e1 d\u00e1 pra montar algo com o que j\u00e1 tem l\u00e1.<\/li>\n<li>Este ser\u00e1 mais um caso dispon\u00edvel no meu wiki sobre forense (<a href=\"http:\/\/bit.ly\/forense\">http:\/\/bit.ly\/forense<\/a>).<\/li>\n<li>Podem continuar tirando d\u00favidas. Acho que os coment\u00e1rios neste post v\u00e3o longe&#8230; E obrigado pelo interesse de todos e pelas mensagens aqui e no <a href=\"http:\/\/twitter.com\/eribertomota\">meu Twitter<\/a>.<\/li>\n<\/ul>\n<h3>10:45 h<\/h3>\n<ul>\n<li>Bem, esqueci de dizer outra coisinha importante. \u00c9 muita coisa pra lembrar&#8230; Este caso foi montado, dentre outras coisas, para a minha oficina do <a href=\"http:\/\/www.consegi.gov.br\">Consegi 2010<\/a> aqui em Bras\u00edlia. Quem quiser ter um minicurso de forense basta se inscrever. Na verdade, n\u00e3o sei se ainda tem vaga.<\/li>\n<li>Tamb\u00e9m, j\u00e1 fui convidado mais uma vez para o <a href=\"http:\/\/www.latinoware.org\">Latinoware<\/a>. Ent\u00e3o, vou propor, dentre outras coisas, o mesmo minicurso para l\u00e1.<\/li>\n<li>E, no FISL 2011 (FISL12), acho que vou fazer uma forense ao vivo para o pessoal ver tamb\u00e9m. J\u00e1 dei uma palestra de forense no FISL 2009. Mas, desta vez, n\u00e3o ser\u00e1 palestra. Ser\u00e1 pura a\u00e7\u00e3o!<\/li>\n<\/ul>\n<h2>Dia 09 ago. 2010<\/h2>\n<ul>\n<li>Hoje um amigo me alertou sobre uma mensagem postada em um forum. Aqui est\u00e1 ela:<\/li>\n<\/ul>\n<pre style=\"padding-left: 30px;\"><a href=\"http:\/\/www.istf.com.br\/vb\/pericia-forense\/14955-assistindo-uma-invasao-de-camarote-analise-forente.html\">http:\/\/www.istf.com.br\/vb\/pericia-forense\/14955-assistindo-uma-invasao-de-camarote-analise-forente.html<\/a><\/pre>\n<ul>\n<li>Bem, acho que o pessoal l\u00e1 no f\u00f3rum n\u00e3o leu o post antes de comentar algo. Ent\u00e3o, vamos l\u00e1:\n<ul>\n<li>Como eu disse no post, precisava montar um caso para os meus alunos. Ent\u00e3o, n\u00e3o posso fazer uma per\u00edcia completa porque, se n\u00e3o, estarei dando a resposta do problema a quem dever\u00e1 passar alguns dias fazendo o exerc\u00edcio.<\/li>\n<li>Narrei o que vi para tornar interessante para quem acompanhava ao vivo. Mas n\u00e3o tive a menor inten\u00e7\u00e3o de periciar o caso enquanto narrava, pelo motivo j\u00e1 citado. Por isso, as informa\u00e7\u00f5es morreram no que foi publicado.<\/li>\n<li>Quanto ao scaneamento de uma rede \/8, eu estava observando tudo. Eu fiz dump de mem\u00f3ria e vi os acontecimentos no Iptraf. Pode ser estranho um scaneamento \/8 mas \u00e9 incontest\u00e1vel. Ent\u00e3o, com todo o respeito, afirmaram coisas com base no achismo.<\/li>\n<li>Marketing? N\u00e3o tenho empresa e n\u00e3o fa\u00e7o qualquer servi\u00e7o de forense para fora do Governo Federal. E fui convidado pelo Serpro, na \u00e9poca, para dar a palestra que eles citaram. Mais um furo de quem resolveu falar sem base&#8230;<\/li>\n<li>Bem, escrevi isso aqui como esclarecimento, uma vez que as informa\u00e7\u00f5es postadas no referido f\u00f3rum est\u00e3o p\u00fablicas na Internet. []s a todos.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Povo de Deus, Novamente temos uma m\u00e1quina no ar, desde 18:40h, realizando a mesma tarefa descrita no post &#8220;Assistindo a uma invas\u00e3o de rede de camarote&#8230;&#8220;. A diferen\u00e7a \u00e9 que, desta vez, pretendo disponibilizar o dump de mem\u00f3ria e j\u00e1 estou escrevendo um wiki que ensina preparar o mesmo ambiente que eu fiz. Agora \u00e9&hellip;&nbsp;<a href=\"https:\/\/eriberto.pro.br\/blog\/2010\/08\/03\/invasao-de-rede-de-camarote-again\/\" rel=\"bookmark\">Continue a ler &raquo;<span class=\"screen-reader-text\">Invas\u00e3o de rede de camarote again&#8230;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"neve_meta_sidebar":"","neve_meta_container":"","neve_meta_enable_content_width":"","neve_meta_content_width":0,"neve_meta_title_alignment":"","neve_meta_author_avatar":"","neve_post_elements_order":"","neve_meta_disable_header":"","neve_meta_disable_footer":"","neve_meta_disable_title":"","footnotes":""},"categories":[16,54,24,3,4,5],"tags":[62,624,105,626,61,201,200,621,622,60,623,131,202,190],"class_list":["post-408","post","type-post","status-publish","format-standard","hentry","category-debian","category-forense-computacional","category-internet","category-linux","category-rede","category-seguranca","tag-cracker","tag-debian","tag-forense","tag-forense-computacional","tag-hacker","tag-intrusao-defacement","tag-invasao","tag-linux","tag-rede","tag-redes","tag-seguranca","tag-squeeze","tag-ssh","tag-tcpdump"],"_links":{"self":[{"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/posts\/408","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/comments?post=408"}],"version-history":[{"count":0,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/posts\/408\/revisions"}],"wp:attachment":[{"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/media?parent=408"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/categories?post=408"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/tags?post=408"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}