Re: [FUG-BR] Resolvido descobrir processo que ta rodando

2010-02-15 Por tôpico Zhu Sha Zang 
Em 15/2/2010 12:00, Marcelo da Silva escreveu:
> Ola pessoal.. agradeco a todos que deram dicas que foram de grande
> importancia.
>
> o problema era meu webmail, tempos atras compramos um skin da nutsmail e
> ele é baseado no squirrel 1.4.8;
> esta versao ta com problema...
> retirei o webmail e acabou o problema, vou adquirir uma versao atualizada
> do webmail.
>
> Abracao a todos..
>
>
> ]On Sat, 13 Feb 2010 13:23:48 -0200, Cleyton Agapito 
> wrote:
>   
>> Em 13 de fevereiro de 2010 12:30, Marcelo da Silva
>>  escreveu:
>> 
>>> Mas olha so
>>> @40004b75d8bd1296f304 tcpserver: pid 46621 from 127.0.0.1
>>> <<>> @40004b75d8bd129c2edc tcpserver: ok 46621 localhost:127.0.0.1:587
>>> :127.0.0.1::61632
>>>
>>>   
>> Antes de partir para soluções mais drásticas:
>>
>> - Dê uma olhada se não tem um script malvado em /var/cron/tabs e
>> /var/at/jobs, se você já procurou no ps e não tem nenhum processo
>> estranho lá é provável que execute de tempos em tempos de algum lugar,
>> esses são os mais prováveis.
>>
>> - Dê uma busca o diretório dos usuários com "find /usr/home -perm -111
>> -type f", já que via de regra o script malvado tem que ter permissão
>> de execução (supondo que o sistema não está comprometido, senão pode
>> estar em qualquer lugar).
>>
>> - Derrepente uma é gerar um arquivo com a lista dos executáveis
>> "normais" do sistema em um "limpo" e no teu e depois fazer um diff dos
>> dois.
>>
>> - Verifique se tem alguém logado em períodos próximos à ocorrência com
>> last, caso o carinha esteja de malandragem escondendo o script.
>>
>> - Verifique cuidadosamente todos os logs atrás de algo mais
>> 
> significativo.
>   
>> - Caso ache que sua senha de root tenha sido comprometida tente apagar
>> os fontes, baixar, compilar e refazer a userland (make buildworld e
>> make installworld), isso vai remover alguma possível infeccção na
>> base.
>>
>> Espero que alguma dessas ajude.
>> 
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>   

É, software desatualizado ou "não-patcheado" são muitas vezes causas de
falhas graves. Por aqui foi o squid que ficou sendo usado como proxy
anônimo e spammer...

..mas

Como descobriu que era do webmail??

att
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Resolvido descobrir processo que ta rodando

2010-02-15 Por tôpico Marcelo da Silva 
Ola pessoal.. agradeco a todos que deram dicas que foram de grande
importancia.

o problema era meu webmail, tempos atras compramos um skin da nutsmail e
ele é baseado no squirrel 1.4.8;
esta versao ta com problema...
retirei o webmail e acabou o problema, vou adquirir uma versao atualizada
do webmail.

Abracao a todos..


]On Sat, 13 Feb 2010 13:23:48 -0200, Cleyton Agapito 
wrote:
> Em 13 de fevereiro de 2010 12:30, Marcelo da Silva
>  escreveu:
>> Mas olha so
>> @40004b75d8bd1296f304 tcpserver: pid 46621 from 127.0.0.1
>> <<<    ta vindo do meu propio servidor..
>> @40004b75d8bd129c2edc tcpserver: ok 46621 localhost:127.0.0.1:587
>> :127.0.0.1::61632
>>
> 
> Antes de partir para soluções mais drásticas:
> 
> - Dê uma olhada se não tem um script malvado em /var/cron/tabs e
> /var/at/jobs, se você já procurou no ps e não tem nenhum processo
> estranho lá é provável que execute de tempos em tempos de algum lugar,
> esses são os mais prováveis.
> 
> - Dê uma busca o diretório dos usuários com "find /usr/home -perm -111
> -type f", já que via de regra o script malvado tem que ter permissão
> de execução (supondo que o sistema não está comprometido, senão pode
> estar em qualquer lugar).
> 
> - Derrepente uma é gerar um arquivo com a lista dos executáveis
> "normais" do sistema em um "limpo" e no teu e depois fazer um diff dos
> dois.
> 
> - Verifique se tem alguém logado em períodos próximos à ocorrência com
> last, caso o carinha esteja de malandragem escondendo o script.
> 
> - Verifique cuidadosamente todos os logs atrás de algo mais
significativo.
> 
> - Caso ache que sua senha de root tenha sido comprometida tente apagar
> os fontes, baixar, compilar e refazer a userland (make buildworld e
> make installworld), isso vai remover alguma possível infeccção na
> base.
> 
> Espero que alguma dessas ajude.

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd