Fala Alessandro, firmeza? Bem, se realmente � esse o problema, ent�o a tentativa foi um sucesso, n�? :)
Olha, pode n�o ser esse o caso. Pode tratar-se de algum v�rus na rede interna, por exemplo. Tem antiv�rus a�? � que o tr�fego t� saindo... Se pelo menos fosse nos dois sentidos... :) Muito estranho... De qualquer forma, o b�sico pra tentar descobrir o que foi que te atingiu: comece instalando e rodando o chkrootkit. Vc pode pegar em www.chkrootkit.org . Descomprima, d� um make, e depois um ./chkrootkit . Se ouver um rookit no seu micro, h� uma chance enorme dele encontrar. Outra coisa, � determinar se h� processos estranhos ouvindo nas portas do seu servidor: vc vai precisar do programa lsof, dispon�vel em ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/lsof.tar.gz Compile e instale, depois rode: lsof -i | grep LIS Isso vai mostrar todos os processos que est�o "ouvindo". N�o adianta usar netstat, nem qualquer outro comando do sistema, como ifconfig e ps xuwa. Se realmente o seu micro j� foi invadido, provavelmente eles est�o comprometidos. Uma outra pista interessante: geralmente, os logs e demais informa��es produzidas por um eventual rootkit ficam armazenados sob o /dev, que tem uma tonelada e meia de arquivos. Para descobrir quais poderiam ser, sem ler e entender um por um, vc pode listar os arquivos que sejam regulares (condi��o anormal pra quem est� no /dev): find /dev -type f -ls Bom, come�a por a�. Com certeza h� mais para fazer, e os gurus da lista podem acrescentar mais um monte de sugest�es. Mas tem que come�ar por algum lugar. Me fala se foi... :) Um []��o 3dv Limeira/SP ----- Original Message ----- From: "Alessandro de Freitas" <[EMAIL PROTECTED]> Sent: Tuesday, March 12, 2002 12:49 PM > Ola pessoal acho que estou sendo alvo de tentativas de invas�o. > Em minha rede tenho 01 servidor Firewal 01 DNS e 01 WEB em um link de 64 K > direto com a embratel. Todos CL 7.0 Kernel 2.4. De-repente minha conex�o > ficou super lenta. > Verifiquei o gr�fico de analise de trafego e me indicou um alt�ssimo volume > de trafego na sadia do link e m�nimo na entrada. N�o fui eu que configurei > os servidores, alias tenho pouco conhecimento com Linux. > Como poderia identificar qual porta de qual servidor esta sendo focados na > invas�o? Qual processo est�o usando contra mim? E principalmente como > poderia me defender disso? > Sei que para a resposta de todas estas quest�es dependerei de uma analise na > rede. Quem puder se dedicar um certo tempo comigo nisso, serei muito > agradecido. Assinantes em 12/03/2002: 2231 Mensagens recebidas desde 07/01/1999: 157963 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
