Pronto cara.. voce esta com a faca e o queijo na mao.. ele identificou os diretorios suspeitos..
Warning! ] > --------------- > /dev/.static > /dev/.udevdb > /dev/.initramfs-tools /etc/.java > /etc/.pwd.lock > --------------- > Please inspect: /dev/.static (directory) /dev/.udevdb (directory) /etc/.java (directory) > provavelmente todos esses arquivos sao trojans e/ou arquivos que o cara usa para entrar na sua maquina e fazer as modificacoes scan e etc.. por enquanto se eu fosse voce.. dava uma olhada nesses diretorios por logs ou qualquer outros traços que o invasor possa ter utilizado.. ve se rola uma engenharia reversa.. pra descobrir de onde eh o que como cada coisa funciona.. e depois que voce remover isso tudo identificar por onde que o invasor entrou na sua maquina.. atualize ou php ou qualquer outro script que permita a execucao da funcao system().. ou cgi ou qualquer coisa do tipo.. atualize seus daemons e procure por falhas.. tente sempre usar as versoes mas atuais dos daemons e foque sua pesquisa em todos services que voce usa se existe alguma vulnerabilidade ou qualquer coisa do tipo.. para voce saber se proteger e ter nocao de tudo que acontece no seu sistema.. Eu tenho conhecimento para fazer essa engenharia reversa.. e para identificar os arquivos infectados, services e te deixar a par do assunto.. se quiser conversar mais sobre isso me manda um email: [EMAIL PROTECTED] que eu posso te ajudar melhor. Att, Rodrigo Escobar --------- Mensagem Original -------- De: Lista de discussão do LoCoTeam Brasileiro <[email protected]> Para: Lista de discussão do LoCoTeam Brasileiro <[email protected]> Assunto: Re: [Ubuntu-BR] Socorro! Ataque - Parte 2 Data: 11/02/06 10:03 > Em Sex, 2006-02-10 à s 22:32 -0200, Rodrigo Escobar (diguin) escreveu: > > Jose, > > > > heheh normal com certeza nao eh neh :).. mas nao precisava ter colado tudo.. > > mas isso pode com certeza ser algum scan que esta rodando "hideado" > > escondido no seu sistema.. rode o rkhunter como eu te recomendei identifique > > esses arquivos e delete-os.. de preferencia saiba lidar com os arquivos de > > log da sua maquina /var/log para tentar encontrar o suposto invasor ou > > suposta maquina acessando o seu sistema para efetuar esses determinados > > comandos.. > > > Parece que o rkhunter achou alguma coisa... > > * Filesystem checks > Checking /dev for suspicious files... [ OK ] > Scanning for hidden files... [ Warning! ] > --------------- > /dev/.static > /dev/.udevdb > /dev/.initramfs-tools /etc/.java > /etc/.pwd.lock > --------------- > Please inspect: /dev/.static (directory) /dev/.udevdb (directory) /etc/.java (directory) > > [Press <ENTER> to continue] > > Por favor, alguém pode me ajudar a continuar? > > > > -- > José Geraldo Gouvêa <[EMAIL PROTECTED]> > > > > --===============0961152352== > Content-Type: text/plain; charset="iso-8859-1" > MIME-Version: 1.0 > Content-Transfer-Encoding: quoted-printable > Content-Disposition: inline > > -- = > > ubuntu-br mailing list > [email protected] > www.ubuntu-br.or ________________________________________________ UebiMiau Superonda Wireless Internet 2.7.2 -- ubuntu-br mailing list [email protected] www.ubuntu-br.org https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
