Re: Usuário nobody
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 2003-12-29, 15:33 -0200, Sávio Ramos: On Mon, 29 Dec 2003 13:36:19 -0200 Rafael Alexandre Schmitt [EMAIL PROTECTED] wrote: Não era o updatedb? Não, acho um saco este updatedb e nem uso. O que estava escrito no top era find mesmo... pstree mostra qual processo chamou qual processo, que chamou qual processo... Até Claudio - -- +- .''`. ---| Dipl.-Inf. Univ. Claudio Clemens |--| Sarge |---+ | : :' : TU-München | Robotik RealTime GNU/Linux User #79942 | | `. `'http://asturio.gmxhome.de/begin.html asturio at gmx.net| | `- YE GODS, I HAVE FEET??!- Userfriendly | Safe sex means never having to say You've got WHAT?!? -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.3 (GNU/Linux) iD8DBQE/8XaId4jGrCHoMHoRAqF0AJwKj2LoBSurQtJiwd+RfG7DbXa7cQCdE4R/ lq0pA8WywI810IDyPlnwHPE= =gr52 -END PGP SIGNATURE-
Re: Usuário nobody
não sei se você foi invadido (opa!), mas mesmo com o velox, a cada vez que você se conectar a internet você vai receber um IP novo. ou seja, a não ser que ele tenha deixado uma maneira de te rastrear, ele vai ter que escanear todo mundo para te encontrar. abs, cláudio. - Original Message - From: Sávio Ramos [EMAIL PROTECTED] To: Debian debian-user-portuguese@lists.debian.org Sent: Friday, December 26, 2003 10:35 AM Subject: Usuário nobody Olá, Estava navegando na internet e notei que a luz do hd ficou acessa sem nenhum motivo aparente. No terminal digitei top e existia um processo find sendo executado por nobody. Achei isto muito estranho e desliguei a internet. O processo sumiu, mas apareceram uns dez processos java-vm que consumiam 100% da cpu. 1) minha máquina foi invadida??? 2) se houve invasão, pode o invasor retornar pois sabe meu endereço (uso velox)? Grato. -- Savio M. Ramos - Arquiteto Rio de Janeiro ICQ174972645 Não à pirataria! GNU/Linux Debian-br #705 unstable-SID http://www.debian.org
Re: Usuário nobody
- Original Message - From: Sávio Ramos [EMAIL PROTECTED] To: Debian debian-user-portuguese@lists.debian.org Sent: Friday, December 26, 2003 10:35 AM Subject: Usuário nobody Olá, Estava navegando na internet e notei que a luz do hd ficou acessa sem nenhum motivo aparente. No terminal digitei top e existia um processo find Não era o updatedb? -- Rafael Alexandre Schmitt
Re: Usuário nobody
On Mon, 29 Dec 2003 15:33:50 -0200 Sávio Ramos [EMAIL PROTECTED] wrote: Mas o updatedb chama um find... # On Mon, 29 Dec 2003 13:36:19 -0200 # Rafael Alexandre Schmitt [EMAIL PROTECTED] wrote: # # Não era o updatedb? # # Não, acho um saco este updatedb e nem uso. O que estava escrito no top era find mesmo... # -- # Savio M. Ramos - Arquiteto # Rio de Janeiro ICQ174972645 # Não à pirataria! GNU/Linux # Debian-br #705 unstable-SID # http://www.debian.org # # # -- # To UNSUBSCRIBE, email to [EMAIL PROTECTED] # with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] # -- Rogério Neves Batata([EMAIL PROTECTED]) Companhia de Informática do Paraná - Celepar Linux User #87955 /\ \ / Campanha da fita ASCII - contra mail html X ASCII ribbon campaign - against html mail / \
Re: Usuário nobody
On Mon, 29 Dec 2003 13:36:19 -0200 Rafael Alexandre Schmitt [EMAIL PROTECTED] wrote: Não era o updatedb? Não, acho um saco este updatedb e nem uso. O que estava escrito no top era find mesmo... -- Savio M. Ramos - Arquiteto Rio de Janeiro ICQ174972645 Não à pirataria! GNU/Linux Debian-br #705 unstable-SID http://www.debian.org
Re: Usuário nobody
On Mon, 29 Dec 2003 15:33:50 -0200 Sávio Ramos [EMAIL PROTECTED] wrote: On Mon, 29 Dec 2003 13:36:19 -0200 Rafael Alexandre Schmitt [EMAIL PROTECTED] wrote: Não era o updatedb? Não, acho um saco este updatedb e nem uso. O que estava escrito no top era find mesmo... Eu uso com o crontab , e o updatedb executa um find logo de cara :) -- Rafael Alexandre Schmitt
Usuário nobody
Olá, Estava navegando na internet e notei que a luz do hd ficou acessa sem nenhum motivo aparente. No terminal digitei top e existia um processo find sendo executado por nobody. Achei isto muito estranho e desliguei a internet. O processo sumiu, mas apareceram uns dez processos java-vm que consumiam 100% da cpu. 1) minha máquina foi invadida??? 2) se houve invasão, pode o invasor retornar pois sabe meu endereço (uso velox)? Grato. -- Savio M. Ramos - Arquiteto Rio de Janeiro ICQ174972645 Não à pirataria! GNU/Linux Debian-br #705 unstable-SID http://www.debian.org
Re: Usuário nobody
savio, nao sua maquina nao foi invadida. o find eh rodado a partir do cron e para evitar problemas de seguranca eh executado com o usuario nobody. eu nao recomendo, mas para desabilitar esta atividade excessiva do hd remova o arquivo find dentro do diretorio /etc/cron.daily. eu prefiro matar o find quando ele me incomoda e deixar ele rodar quando eu nem percebo. :) ou simplesmente me levanto pra tomar um cafe ate que o find seja encerrado. este find eh simplesmente para atualizar a base de dados do comando locate. portanto cuca fresca. nada de panico. :) java-vm eh o programa responsavel por exibir seus applests java na internet. ele consome memoria ate que ela se esgote. portanto mais uma evidencia falsa de invasao. o mais provavel eh que este processo nem estivesse consumindo tanta cpu, e sim o swap feito pra que ele ficasse funcionando. mas um simples kill -9 pode acabar com o problema. o java-vm muitas vezes comeca a comer mais cpu que devia na minha maquina tb (normal). mas se quizer fazer uma checkagem no sistema: apt-get install chkrootkit depois rode chkrootkit e fique lendo as mensagens na tela :) On Fri, 26 Dec 2003 10:35:49 -0200 Sávio Ramos [EMAIL PROTECTED] wrote: Olá, Estava navegando na internet e notei que a luz do hd ficou acessa sem nenhum motivo aparente. No terminal digitei top e existia um processo find sendo executado por nobody. Achei isto muito estranho e desliguei a internet. O processo sumiu, mas apareceram uns dez processos java-vm que consumiam 100% da cpu. 1) minha máquina foi invadida??? nao. 2) se houve invasão, pode o invasor retornar pois sabe meu endereço (uso velox)? nao houve invasao. se tivesse havido ele voltaria facilmente (se tivesse interesse, provavelmente ja teria um backdoor monitorando seus passos). Grato. -- Savio M. Ramos - Arquiteto Rio de Janeiro ICQ174972645 Não à pirataria! GNU/Linux Debian-br #705 unstable-SID http://www.debian.org -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- --- Agney Lopes Roth Ferraz [EMAIL PROTECTED]
Re: Usuário nobody
On Fri, 26 Dec 2003 15:48:11 -0200 Sávio Ramos [EMAIL PROTECTED] wrote: On Fri, 26 Dec 2003 11:15:59 -0200 Agney Lopes Roth Ferraz [EMAIL PROTECTED] wrote: e fique lendo as mensagens na tela :) As mensagens foram nothing found e not infected, exceto por estas: Checking `lkm'... You have 4 process hidden for ps command Warning: Possible LKM Trojan installed Checking `rexedcs'... not found Checking `sniffer'... lo: not promisc and no packet sniffer sockets eth0: PACKET SNIFFER(/usr/sbin/pppoe[1346], /usr/sbin/pppoe[1346]) ppp0: not promisc and no packet sniffer sockets Há algo estranho? savio, tudo nos conformes e na perfeita normalidade. Grato. disponha :) Savio M. Ramos - Arquiteto Rio de Janeiro ICQ174972645 Não à pirataria! GNU/Linux Debian-br #705 unstable-SID http://www.debian.org -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- --- Agney Lopes Roth Ferraz [EMAIL PROTECTED]