Em 13 de fevereiro de 2010 12:30, Marcelo da Silva <[email protected]> escreveu: > Mas olha so > @400000004b75d8bd1296f304 tcpserver: pid 46621 from 127.0.0.1 > <<<-------- ta vindo do meu propio servidor.. > @400000004b75d8bd129c2edc tcpserver: ok 46621 localhost:127.0.0.1:587 > :127.0.0.1::61632 >
Antes de partir para soluções mais drásticas: - Dê uma olhada se não tem um script malvado em /var/cron/tabs e /var/at/jobs, se você já procurou no ps e não tem nenhum processo estranho lá é provável que execute de tempos em tempos de algum lugar, esses são os mais prováveis. - Dê uma busca o diretório dos usuários com "find /usr/home -perm -111 -type f", já que via de regra o script malvado tem que ter permissão de execução (supondo que o sistema não está comprometido, senão pode estar em qualquer lugar). - Derrepente uma é gerar um arquivo com a lista dos executáveis "normais" do sistema em um "limpo" e no teu e depois fazer um diff dos dois. - Verifique se tem alguém logado em períodos próximos à ocorrência com last, caso o carinha esteja de malandragem escondendo o script. - Verifique cuidadosamente todos os logs atrás de algo mais significativo. - Caso ache que sua senha de root tenha sido comprometida tente apagar os fontes, baixar, compilar e refazer a userland (make buildworld e make installworld), isso vai remover alguma possível infeccção na base. Espero que alguma dessas ajude. []'s ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
