Marcelo, Va até o site do registro.br, digite o ip do cidadao (201.78.50.60) e procure a conta abuse do detentor do IP
inetnum: 201.78/15 asn: AS7738 ID abusos: CGR13 entidade: Telemar Norte Leste S.A. documento: 002.558.134/0001-58 responsável: Marlemar Telgon endereço: Rua Humberto de Campos, 425, 7º andar endereço: 22430-190 - Rio de Janeiro - RJ ID: CGR13 nome: Centro de Gerencia de Rede TELEMAR e-mail: [EMAIL PROTECTED] Mande um email com o log do acesso e peça rapidez no atendimento. Gustavo Mendes de Carvalho Diveo do Brasil Telecomunicações www.diveo.net.br -----Mensagem original----- De: Marcelo Luiz de Laia [mailto:[EMAIL PROTECTED] Enviada em: sexta-feira, 23 de junho de 2006 14:47 Para: Debian Assunto: [msg longa] Re: Invadiram servidor e trocaram senha root .... O que fazer??? Marcelo Luiz de Laia wrote: Ola Pessoal, So para relatar o que aconteceu depois da invasao. Recuperei a senha do root com auxilio de um live-cd. Procurei nos arquivos de log do apache e encontrei o seguinte: Descobri que o cara usou esse escript: http://triton2006.100free.com/cmd.txt Entao, eu restaurei a senha do root. Rodei um rootkit para ver se havia alguma mudanca. Nao encontrou nada. Desabilitei o modulo My_eGallery do site e pus um script no profile do root para me avisar quando alguem efetivasse login como root. Pois bem, depois de duas semanas alguem efetuou login como root novamente: detectado em apg O usuário <<< root >>> efetuou login no servidor. Máquina acessada: apg. Data do acesso: Sex Jun 23 13:35:28 BRT 2006. IP do acesso: 201.78.50.60 4001 6336. TTY: /dev/pts/0 Desliguei o cabo de rede imediatamente! Agora, eu gostaria de saber como relatar esses numeros de IPs para as autoridades, etc... -- Marcelo Luiz de Laia Ph.D Candidate São Paulo State University (http://www.unesp.br/eng/) School of Agricultural and Veterinary Sciences Department of Technology Via de Acesso Prof.Paulo Donato Castellane s/n 14884-900 Jaboticabal - SP - Brazil Fone: +55-016-3209-2675 Cell: +55-016-97098526 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]