Em 01/04/07, Elton Simões Baptista<[EMAIL PROTECTED]> escreveu:
Bom dia lista,
Em servidor a senha do root foi trocada e achei dois usuarios "novos"
danezuPTM e test123.
Alguem sabe se isso trata-se de rootkit ou algum outro tipo de ataque
conhecido ?
Estou preocupado que o invasor tenha deixado alguma coisa rodando,
estou vasculhando e nao encontro nada...
Alguma sugestao ?
Pra tirar o peso da consciência, uma reinstalação viria bem. Não sem
antes descobrir o que causou o problema - uma falta de atualização,
uma senha fraca, exploração de relação de confiança.... pode ser muita
coisa mesmo. Sem saber mais ou menos como foi o problema, reformatar
pode apenas adiar pois o bug ser inocentemente reestabelecido.
A não ser que vc tenha interesse em estudar um pouco de 'forensics' e
coisas a fim, não acho que valhe a pena investir tempo em recuperar
uma máquina que foi comprovadamente invadida, e teve a conta/senha de
root comprometida.
Vc pode verificar as datas dos arquivos, varrer todos os logs da
epoca, observar o /tmp com muito cuidado, ver o ~/public_html dos
usuários,.... são muitos os lugares mesmo.
--
Marcos
