Me parece um arquivo com as propriedades alteradas típico de rootkit Em 28 de junho de 2016 20:06:36 BRT, Filipy Galiza Soares <[email protected]> escreveu: >Foi o que cogitei no início Júnior. >O servidor não tem camadas de segurança, mas está em uma rede privada e >sem >login root para SSH, nada demais mas já ajuda e na dúvida coloquei o >Rootkit Hunter e rodei. >Com configuração padrão, a ferramenta não encontrou nada no sistema e >quando foi verificar o 'dirname'... >********** >[18:02:51] Info: Found the 'diff' command: /usr/bin/diff >[18:02:51] Info: Unable to find the 'dirname' command >[18:02:51] Info: Found the 'file' command: /usr/bin/file >********** > >Aí ficou a dúvida: ou o sistema já está infectado a ponto da própria >ferramenta não mostrar problemas ou de fato algo está errado com o >arquivo >e ela realmente não consegue ler. >Devido as circunstâncias, preferi acreditar que o sistema não está >comprometido. Mas não posso duvidar de nada. Se tiver algum >procedimento >adicional para que eu possa arriscar agradeço. > >Abraço. > > >Em 28 de junho de 2016 19:39, Júnior Plug Tecnologia < >[email protected]> escreveu: > >> Não é o caso de verificar rootkit? >> >> Em 28 de junho de 2016 19:37:12 BRT, Filipy Galiza Soares ><[email protected]> >> escreveu: >>> >>> Olá Rodolfo, agradeço o palpite, mas infelizmente não é isso. >>> O $PATH tá ok, tanto que outros comandos em '/usr/bin' funciona >>> normalmente. Mesmo dentro da pasta não dá pra acessar o arquivo. >>> >>> Existe uma entrada para o arquivo, mas ela não consegue ser >processada. >>> Tanto que o arquivo não pode ser movido, removido, substituído, etc, >mas ao >>> listar o diretório ele tá lá: >>> -????????? ? ? ? ? ? dirname >>> >>> Parece ter sido corrompido, poderia suspeitar do sistema de arquivos >>> (EXT4), mas penso ser uma acusação muito grave. >>> >>> Abraço. >>> >>> Em 28 de junho de 2016 18:53, Rodolfo <[email protected]> escreveu: >>> >>>> Ae, dei uma pesquisada aqui e achei um link que tem a ver com o que >>>> falei, só não li todos os comentários, to de saída do trampo, flw. >>>> >>>> >>>> >http://www.dslreports.com/forum/r21749122-I-think-I-broke-something-chmod-command-not-found >>>> >>>> Em 28 de junho de 2016 15:43, Filipy Galiza Soares <[email protected]> >>>> escreveu: >>>> >>>>> Saudações a todos! >>>>> Sou novo na lista e venho motivado pelo seguinte problema que me >>>>> intrigou... >>>>> >>>>> Desde o dia 18 de junho venho recebendo diariamente o seguinte >e-mail >>>>> do sistema: >>>>> ********** >>>>> /etc/cron.daily/dpkg: >>>>> /usr/bin/savelog: 1: /usr/bin/savelog: dirname: not found >>>>> /usr/bin/savelog: 1: /usr/bin/savelog: dirname: not found >>>>> /usr/bin/savelog: 1: /usr/bin/savelog: dirname: not found >>>>> ********** >>>>> >>>>> O utilitário 'dirname' é contido no pacote 'coreutils', que está >>>>> instalado e atualizado no sistema e seu executável deve estar em >>>>> '/usr/bin'. Procurando por ele com o comando 'ls -la /usr/bin | >grep dir' >>>>> eu recebo: >>>>> ********** >>>>> ls: não é possível acessar /usr/bin/dirname: Arquivo ou diretório >não >>>>> encontrado >>>>> -rwxr-xr-x 1 root root 38536 Mar 14 2015 dircolors >>>>> -????????? ? ? ? ? ? dirname >>>>> -rwxr-xr-x 1 root root 376828 Dez 14 2015 grub-mknetdir >>>>> ********** >>>>> >>>>> Qualquer comando usado para tentar manipular essa suposta versão >>>>> existente, retorna arquivo não encontrado. Assim como reinstalar o >pacote: >>>>> ********** >>>>> A descompactar coreutils (8.23-4) sobre (8.23-4) ... >>>>> dpkg: erro ao processar o arquivo >>>>> /var/cache/apt/archives/coreutils_8.23-4_i386.deb (--unpack): >>>>> impossível instalar nova versão de '/usr/bin/dirname': Arquivo ou >>>>> diretório não encontrado >>>>> A processar 'triggers' para man-db (2.7.0.2-5) ... >>>>> Erros foram encontrados durante o processamento de: >>>>> /var/cache/apt/archives/coreutils_8.23-4_i386.deb >>>>> E: Sub-process /usr/bin/dpkg returned an error code (1) >>>>> ********** >>>>> >>>>> O sistema é o Debian 8 32 bits e suas últimas atualizações foram >dia 13 >>>>> e 21 de junho. >>>>> Estou utilizando RAID 1, invoquei a verificação e reparo do >arranjo e a >>>>> mesma coisa. >>>>> >>>>> Mais do que solucionar, gostaria de saber o que aconteceu com o >>>>> arquivo, pois dependendo do que seja, pode se repetir com outros. >>>>> Aceito qualquer palpite ou sugestão, pois estou sem ideias no >momento. >>>>> >>>>> Agradeço a atenção. >>>>> >>>> >>>> >>> >> -- >> Sent from my Android device with K-9 Mail. Please excuse my brevity. >>
-- Sent from my Android device with K-9 Mail. Please excuse my brevity.
