Bom dia Danilo, obrigado por sua resposta. "você comenta também que não houve intervenção intencional de ninguém da empresa, mas por acaso o sistema está fazendo alguma atualização automaticamente?"
Você se refere a atualizações automáticas do apt? Tipo, agendadas no crontab, e etc? Não, bem, não que eu saiba. Nunca configurei atualizações automáticas em nenhum servidor para que não aconteçam surpresas como esta... De qualquer jeito, vou verificar tanto a questão dos alias, quanto as tabelas crontab. Obrigado! FILIPE FEDALTO 2009/2/6 Danilo Magrini <[email protected]> > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > 2009/2/6 Filipe Fedalto <[email protected]> > > É Filipe... complicado isso. Bom inicialmente, não sei se é o seu > caso, mas vou colocar uma dica aqui muitas vezes negligenciada por > muitos administradores. A maioria dos firewalls que vi até hoje, fazem > log das tentativas de acesso não autorizados, alguns com informações > detalhadíssimas sobre a possível origem das tentativas. Porém poucos > são os firewalls que eu vi que também "logam" as tentativas BEM > SUCEDIDAS pois são essas que são as perigosas! Nesse caso você tem > sempre mais informações para avaliar. > > Bom dito isso vou tentar dar algumas opiniões sobre o que você enviou. > Primeiramente eu acredito que você deveria, se possivel, isolar essa > máquina... tanto de acesso externo quanto de interno. Depois tente > baixar algum anti-rootkit para avaliar se algum foi executado ou > deixado no seu sistema. Como você disse que seu sistema está com > comportamentos estranhos podemos concluir que isso não foi ação de um > "cracker profissional" kkkkk se é que isso existe. O que eu quero > dizer é que se a invasão partiu de um cracker inteligente e que visa > obter informações suas ele jamais iria "estragar" alguma coisa que > seja visualmente perceptivel. Quando uma invasao ocorre e você tem > dados excluidos ou qualquer coisa desse tipo, é bem provavel que é > algum adolescente querendo fazer farra. Mas vamos aos fatos, vou > tentar dar minha opinião sobre seu problema abaixo. > > E aqui está uma demonstração do problema: > > fil...@eainet:/$ ls > ls: unrecognized prefix: do > ls: unparsable value for LS_COLORS environment variable > bin dev > initrd.img opt svn > vmlinuz > boot etc lib > proc sys > cdrom ftp lost+found > root tmp > core home media > sbin usr > davhome initrd mnt > srv var > > E o $LS_COLORS: > > fil...@eainet:/$ env |grep LS_COLORS > > LS_COLORS=no=00:fi=00:di=01;34:ln=01;36:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.gz=01;31:*.bz2=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.avi=01;35:*.fli=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.flac=01;35:*.mp3=01;35:*.mpc=01;35:*.ogg=01;35:*.wav=01;35: > > Como podem ver, o sistema reclama que não entende o "do" no $LS_COLORS. > Isto > começou a acontecer "do nada". Ou melhor, sem nenhuma intervenção de alguem > da empresa, ao menos. > eu não acho que a reclamação é de não encontrar o "do" no LS_COLORS tá > mais com cara de qua é um alias que foi criado para o "ls" e que está > com algum problema. Já verificou o arquivo de criação de aliases do > sistema? > você comenta também que não houve intervenção intencional de ninguém > da empresa, mas por acaso o sistema está fazendo alguma atualização > automaticamente? > > - -- > Danilo G. Magrini > danilo.magrini (AT) gmail (DOT) com > GPG Key: > > http://keyserver.ubuntu.com:11371/pks/lookup?op=get&search=0x3EAD0BBAFDE75A11 > "Any fool can write code that a computer can understand. Good > programmers write code that humans can understand." (Martin Fowler) > > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.4.9 (GNU/Linux) > Comment: http://getfiregpg.org > > iEYEARECAAYFAkmMMfkACgkQPq0Luv3nWhHOlACg0kY1BsTb1ywwd+Fxqa1JysvL > 2LgAoLERDSYZMm6kFwLdd6lQyoHGTsYG > =NR1E > -----END PGP SIGNATURE----- > -- > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > Lista de discussão Ubuntu Brasil > Histórico, descadastramento e outras opções: > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
