Bom vc vai ter de criar um procedimento de auditoria hehe. 1-verificar a data dos arquivos 1.1 provavalmente deve ter fakes na tua maquina.
2- atualizar o sistema sempre 3- tinha um programa q fazia um historico dos arquivos e caso um arquivo fosse alterado ele avisava me fugiu da memoria o nome do programa 4- dependendo da maquina q tal um grsec ? > > Mais uma dica, se vc poderia fazer isso usando bin�rios que n�o esta� > na m�quina, pois eles podem ter sido substituidos num caso de invas�o. > > Copie de uma m�quina de confian�a por scp em um diret�rio qualquer e > rode os bin�rios nesse diret�rio (n�o sobrescreva os originais da > m�quina!) > > > Em Seg 21 Mar 2005 19:43, julio menezes escreveu: > > Caros amigos, > > > > Uso o Slackware 9.1 kernel 2.4.22 > > Apache 1.3.28 na porta 1081 > > > > Estou com uma suspeita de LKM. > > Rodei 3 aplicativos: nmap rkhunter e chkrootkit > > > > O nmap me reporta uma porta, a 861 que nao seu quem esta abrindo. > > Rodo o > > > > > > Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2005-03-21 > > 18:23 BRT Initiating SYN Stealth Scan against localhost (127.0.0.1) > > [1660 ports] at 18:23 > > Discovered open port 113/tcp on 127.0.0.1 > > Discovered open port 22/tcp on 127.0.0.1 > > Discovered open port 861/tcp on 127.0.0.1 > > Discovered open port 37/tcp on 127.0.0.1 > > The SYN Stealth Scan took 0.14s to scan 1660 total ports. > > For OSScan assuming that port 22 is open and port 1 is closed and > > neither are firewalled > > Host localhost (127.0.0.1) appears to be up ... good. > > Interesting ports on localhost (127.0.0.1): > > (The 1656 ports scanned but not shown below are in state: closed) > > PORT STATE SERVICE > > 22/tcp open ssh > > 37/tcp open time > > 113/tcp open auth > > 861/tcp open unknown > > Device type: general purpose > > Running: Linux 2.4.X|2.5.X > > OS details: Linux 2.4.0 - 2.5.20 > > Uptime 0.006 days (since Mon Mar 21 18:14:19 2005) > > TCP Sequence Prediction: Class=random positive increments > > Difficulty=2075835 (Good luck!) > > IPID Sequence Generation: All zeros > > > > Nmap run completed -- 1 IP address (1 host up) scanned in 2.503 > > seconds > > > > > > ja o rkhunter detecta 4 aplicativos vulneraveis > > > > * Application version scan > > - GnuPG 1.2.3 [ > > Vulnerable ] > > - Apache 1.3.28 [ > > Vulnerable ] > > - OpenSSL 0.9.7b [ > > Vulnerable ] > > - ProFTPd 1.2.8 [ > > Vulnerable ] > > > > > > o chkrootkit me deu uma mensagem de suspeita de LKM depois parou, > > > > Searching for anomalies in shell history files... Warning: > > `//root/.kde/socket-m > > ala01 > > //root/.kde/tmp-mala01' is linked to another file > > Checking `lkm'... Not Tested: can't exec ./chkproc > > > > > > -----------------------Perguntas: > > 1- Como posso saber quem esta usando a porta 861 ? tentei telnet > > localhost 861 sem sucesso. Da conexao recusada pelo foreign host > > 2- Como fechar a porta 861, nao consta no services ou inetd.conf > > 3- Quais as protecoes adotadas por voce ? > > > > obrigado, > > julio menezes > > -- > ============================================================= > Valter Douglas Lisb�a J�nior > Vulgo: GigaNERDS > > ** Nix Inform�tica Especializada ** > Solu��es em Interconectividade, Servidores e Seguran�a com Linux > > * Bacharel em Ci�ncias da Computa��o > * Docente do Curso T�cnico de Inform�tica do SENAC/Piracicaba > * Propriet�rio e t�cnico da Nix Especializada > > MSN: [EMAIL PROTECTED] > Fones: (19) 9183-4238 > (19) 9183-4244 > ============================================================= > -- > GUS-BR - Grupo de Usuarios Slackware - BR > http://www.slackwarebrasil.org/ > http://www.linuxmag.com.br/mailman/listinfo/slack-users > > Esta mensagem foi verificada pelo E-mail Protegido Terra. > Scan engine: McAfee VirusScan / Atualizado em 25/03/2005 / Vers�o: > 4.4.00 - Dat 4455 Proteja o seu e-mail Terra: > http://mail.terra.com.br/ > > -- GUS-BR - Grupo de Usuarios Slackware - BR http://www.slackwarebrasil.org/ http://www.linuxmag.com.br/mailman/listinfo/slack-users
