Comportamento de um servidor comprometido

As características apresentadas são um escopo geral de como você pode identificar ou partir para uma análise caso seu servidor comece a se comportar de forma estranha, como segue:

  • As aplicações instaladas no servidor de repente começam a não responder de forma esperada, ou seja, problemas incomuns e um ambiente considerado estável
  • Contas de usuários adicionais que você não consegue visualizar (elas podem ter sido feitas para parecer com contas do sistema)
  • Novos arquivos ou diretórios com nomes incomuns, por exemplo ‘…’, ‘.qualquercoisa’ etc
  • Tráfego de rede acima do comum e que não podem ser atribuidas a um processo em particular
  • Você recebe um email de um departamento de segurança dizendo que seu servidor foi detectado em estar fazendo port scan ou enviando tráfego de rede malicioso para determinado site
  • O servidor está rodando significativamente lento e alto consumo de processamento.

Esses são os pontos principais, onde, pode haver um ou até mesmo todos os sintomas listados acima, mas não limitado a esses.

Link relacionado

Nesse Blog, do meu amigo Luciano, tem uma análise completa de um host comprometido e detalhamento do que foi feito para identificar e combater. Obrigado pela contribuição Luciano!

Comente caso você tenha uma outra característica!

Share this post

2 comments

Join the conversation

Join the conversation