Sofri um ataque semelhante a pouco mais de 10 dias , mas a rota era de taiwan e o pacote de arquivos utilizados era chamado de apache.tar com diversos scripts de scans proxy,
O servidor era um CL8 e a invasao foi devido uma falha no apache ,provavelmente algo relacionado ao openssl e todos os processos ficaram defunct e ate a autenticacao do sistema foi pro brejo.... A solucao foi salvar os backups da maquina e instalar o red hat 9, no pacote de scripts apache.tar ocorreu o infeccao de um virus para linux chamado Linux.jac.8759 , que dizem ser simples a remocao, mas aqui nao teve outra solucao ao nao ser formatar a maquina e reinstalar tudo. No seu caso parece diferente , mas verifique se existe algo no dir RPM , no meu foi ai que encontrei. /etc/rpm , verifique se existe algum dir oculto, tipo .mail/.apache /etc/rpm/.mail/.apache Se tiver ai � bomba procure um antivirus para linux no site do Panda spanhol e tente reverter o problema..... � s� uma sugestao. Um abraco. Alan > > ----- Original Message ----- > From: "Carlos A Silva" <[EMAIL PROTECTED]> > To: "[EMAIL PROTECTED]" <[EMAIL PROTECTED]> > Sent: Thursday, April 29, 2004 11:07 AM > Subject: (linux-br)Ataques a Servidores LINUX !!! (XL) > > > > Pessoal, > > Tenho tido ultimamente v�rios servidores atacados...A assinatura do ataque > > apresenta arquivos bin�rios que v�o aumentando de tamanho e ficando > > "pendurados" em processos de execu��o...Ou seja, cada arquivo "hackeado" > que > > fica em execu��o acaba trazendo muitos outros, e o processo vai ficando > > enorme, at� o servidor cair. > > Normalmente, quando se digita ps -x , observa-se os seguintes arquivos > (mais > > comuns): hostname, mount, umount, chmod, rm, ls, ps...etc.. alguns em > status > > [defunct] > > Incr�vel � que n�o consigo elimin�-los...elimina-se com killall -9 e > depois > > eles voltam, ou seja, sempre fica algum escondidinho que chama os > > demais...Mesmo com o tripwire detectando as altera��es dos arquivos, > sempre > > algum escapa...� um inferno!!...Normalmente � necess�rio, mais seguro e > > r�pido reinstalar o servidor. > > E n�o tenho conseguido identificar por onde o danado, ou danados > entram...Na > > maioria s�o instala��es conectiva 8.0 com todos os pacotes > atualizad�ssimos > > e todas as portas fechadas, "rodando" apache, sendmail, imap, xntpd, > ssh... > > Agora mesmo tenho um caso cuja ocorr�ncia foi h� 36 horas...Vejam o "log", > > ainda n�o sei se � pista falsa: > > Apr 27 20:33:29 server01 kswaps[16967]: log: Server listening on port > 1983. > > Apr 27 20:33:29 server01 kswaps[16967]: log: Generating 768 bit RSA key. > > Apr 27 20:33:29 server01 kswaps[16967]: log: RSA key generation complete. > > Apr 27 20:36:07 server01 kernel: crond uses obsolete (PF_INET,SOCK_PACKET) > > Apr 27 20:36:07 server01 kernel: device eth0 entered promiscuous mode > > Apr 27 20:36:07 server01 kernel: CSLIP: code copyright 1989 Regents of the > > University of California > > Apr 27 20:36:07 server01 kernel: PPP generic driver version 2.4.1 > > > > Algu�m tem alguma dica, algu�m j� passou por esse ataque?? > > > > Muito grato, > > > > ================= > > Carlos A Silva > > [EMAIL PROTECTED] > > ================= > --------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
