Olá,
O estranho é a função sendto enviado 0 bytes de extensão (apesar de dados
declarados). Creio que bloqueando o acesso a esta porta deste host pararia o
dano do processo para após eliminá-lo.
Abraços,
Marcelo.
Em 06/12/05, Ricardo A. Reis <[EMAIL PROTECTED]> escreveu:
>
> Esta ficando OFF, vamos continuar essa thread em pvt ;-)
>
> >Voltei..
> >
> >Hj de manha mesma coisa
> >
> >La fui eu
> >
> >truss -p 32569
> >
> >reportou isso
> >sendto(0x3,0x804ea18,0,0x0,{ AF_INET 68.233.191.1:2344 },0x10) = 1 (0x1)
> >
> dig -x 68.233.191.1
>
> 1.191.233.68.in-addr.arpa. 86400 IN PTR
> 68-233-191-1-gate.atlaga.adelphia.net.
>
> whois adelphia.net
>
> Registrant:
> Adelphia Communications Corp.
>Main at Water
>Coudersport, PA 16915
>US
>
>Domain Name: ADELPHIA.NET
>
>Administrative Contact:
> Admin, Domain [EMAIL PROTECTED]
> Adelphia Communications Corp.
> 1 N. Main St.
> Coudersport, PA 16915
> US
> 888-512-5111 fax: 814-274-1508
>
>Technical Contact:
> Adelphia Communications Corp. [EMAIL PROTECTED]
> Adelphia Communications Corp.
> Main at Water Street
> Coudersport, PA 16915
> US
> 888-512-5111 fax: 814-274-0780
>
>
> Manda um email com as informações pq aparentemente partiu de um
> host na adelphia.net, isso não vai ajudar muito agora vc precisa cortar
> o acesso do seu web server e restaurar o backup em uma outra maquina.
> É possivel usar de algumas técnicas de análise forense para
> tentar recuperar a maquina, mais ha principio vc precisa reestabelecer o
> serviço.
>
>
> OBS: tcpdump -Xnni interface host 68.233.191.1poderia te ajudar a saber
> que tipo de trafego esta sendo acessado.
>
>
> Atenciosamente
>
> Ricardo A. Reis
> UNIFESP
>
>
> ___
> Freebsd mailing list
> Freebsd@fug.com.br
> http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
>
___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
