Bom Jose Geraldo.. eu entrei hoje na lista por indicação de um amigo meu envolvido com o ubuntu e pretendo ajudar quem precisar.. eu ja atuei na area de security e continuo pesquisando muita coisa sobre security e me atualizando sempre.. pelas poucas informacoes que voce me deu e que eu consegui ler la na lista.. voce provavelmente teve sua maquina "hacked".. o chkrootkit nao ajuda muito pois ele so pega valores setados como automatico se eh que voce me entende.. ele pega os padroes dos rootkit's e procura por esses padroes.. ja testei ele e nao gostei muito por esse motivo..
agora eu gostei muito do rkhunter.. esse sim.. alem de ter mais opcoes sobre a procura.. ele compara os md5 acho que chk tambem faz isso e se tiver algum trojanado ou alguma coisa do tipo ele indica.. o link do rkhunter eh o seguinte: http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz alem dele te mostrar a comparacao md5... ele procura por modificacoes em diretorios.. links simbolicos e da informacoes sobre todas modificacoes feitas em sua estrutura de arquivos.. eu consigo identificar facilmente essas falhas.. ou entao quando a maquina provavelmente foi ownada.. mas infelizmente explicando acho que eh meio dificil de passar a experiencia.. mas no que eu puder ajudar eu vou tentar.. no mais.. seria interessante voce passar o rkhunter.. verificar os md5 dos binarios.. e se tiver algum arquivo que talvez voce nao consiga remover.. mais pra frente eu posso te ajudar com outras dicas.. Att, Rodrigo Escobar. ----- Original Message ----- From: "José Geraldo Gouvêa" <[EMAIL PROTECTED]> To: "Lista de discussão do LoCoTeam Brasileiro" <[email protected]> Sent: Friday, February 10, 2006 9:22 PM Subject: Re: [Ubuntu-BR] Socorro! Ataque! > Em Ter, 2006-02-07 às 00:56 -0200, Adriano Rafael Gomes escreveu: > > > José, alguém deve estar fazendo um portscan, por exemplo com o nmap, no > > teu micro. Nas opções avançadas do firestarter marque para descartar > > silenciosamente os pacotes rejeitados, isso atrapalha um pouco quem > > estiver te escaneando. Volta e meia vai aparecer alguém fazendo um > > portscan no teu micro. > > Principalmente agora que tenho IP fixo. Estou começando a descobrir que > um IP dinamico é o melhor dos mundos... ;-) > > > Quanto ao chkrootkit e aos hidden processes, leia [1]esta thread. > > Provavelmente, não tem com que te preocupar, mas *pode* haver problemas, > > embora em menor probabilidade. > > > > [1]http://lists.debian.org/debian-security/2003/10/msg00204.html > > Traduzindo para quem não sabe inglês e possa vir a ter o mesmo problema: > > O chkrootkit compara os dados do "ps" com os processos existentes em > "/proc". Se algum(ns) processo(s) for(em) iniciado(s) entre o momento > em que ele lê o primeiro dado e o segundo, este(s) processo(s) será(ão) > reportados como suspeitos. > > Para tirar a dúvida, rode de novo o chkrootkit. > > > -- > José Geraldo Gouvêa <[EMAIL PROTECTED]> > > > ---------------------------------------------------------------------------- ---- -- ubuntu-br mailing list [email protected] www.ubuntu-br.org https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
-- ubuntu-br mailing list [email protected] www.ubuntu-br.org https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
