Em 13 de fevereiro de 2010 12:30, Marcelo da Silva <marc...@mginformatica.com> escreveu: > Mas olha so > @400000004b75d8bd1296f304 tcpserver: pid 46621 from 127.0.0.1 > <<<-------- ta vindo do meu propio servidor.. > @400000004b75d8bd129c2edc tcpserver: ok 46621 localhost:127.0.0.1:587 > :127.0.0.1::61632
Olha, não entendo nada nem quero entender de qmail, mas descobrir o que você quer me parece bem facil. Com lsof você pode fazer varias pesquisas interessantes, dentre as quais uma básica e pouco lapidada seria: lsof -n -P | grep TCP | grep 61632 o 61632 seria porta de origem da conexão, essa porta deve ser aleatoria e você teria que ficar de olho no log, e rodar o lsof na hora H. Mesmo assim você pode acabar confuso pois se o malware ou hacker conseguiu acesso de root fica muito fácil esconder os processos dele, e você pode ficar olhando e olhando e nao vai ver nada. Nesse caso podes montar o /proc e dar uma fuçada lá dentro procurando coisas "estranhas", e rodar o unhide (tem no ports) ele pega informações sobre os processos de varias fontes distintas e te diz as inconsistências que encontrou. Também faz um portscan básico na máquina pra te dizer qual é a porta aberta "escondida" que o hacker tá usando pro backdoor. Outro software interessante é o rkhunter (tem no ports) que como diz o próprio nome é um caçador de rootkits, muito bom e com uma boa base de dados de rootkits conhecidos. E pra finalizar esses meus 10 centavos, para simplesmente parar o SPAM talvez você possa resolver com uma regra de firewall. Não sei como o qmail se comunica internamente nem que outros softs você tem rodando nessa máquina, mas a grosso modo algo assim resolveria(taparia o sol com a peneira né... mas é melhor que nada): ipfw add 1 deny tcp from 127.0.0.1 to 127.0.0.1 587 -- Nilson ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd