RES: [msg longa] Re: Invadiram servidor e trocaram senha root .... O que fazer???
Marcelo,
Va até o site do registro.br, digite o ip do cidadao (201.78.50.60) e procure a conta abuse do detentor do IP
inetnum: 201.78/15
asn: AS7738
ID abusos: CGR13
entidade: Telemar Norte Leste S.A.
documento: 002.558.134/0001-58
responsável: Marlemar Telgon
endereço: Rua Humberto de Campos, 425, 7º andar
endereço: 22430-190 - Rio de Janeiro - RJ
ID: CGR13
nome: Centro de Gerencia de Rede TELEMAR
e-mail: abuse@telemar.net.br
Mande um email com o log do acesso e peça rapidez no atendimento.
Gustavo Mendes de Carvalho
Diveo do Brasil Telecomunicações
www.diveo.net.br
-----Mensagem original-----
De: Marcelo Luiz de Laia [mailto:mlaia@fcav.unesp.br]
Enviada em: sexta-feira, 23 de junho de 2006 14:47
Para: Debian
Assunto: [msg longa] Re: Invadiram servidor e trocaram senha root .... O que fazer???
Marcelo Luiz de Laia wrote:
Ola Pessoal,
So para relatar o que aconteceu depois da invasao.
Recuperei a senha do root com auxilio de um live-cd.
Procurei nos arquivos de log do apache e encontrei o seguinte:
Descobri que o cara usou esse escript:
http://triton2006.100free.com/cmd.txt
Entao, eu restaurei a senha do root. Rodei um rootkit para ver se havia alguma mudanca. Nao encontrou nada.
Desabilitei o modulo My_eGallery do site e pus um script no profile do root para me avisar quando alguem efetivasse login como root.
Pois bem, depois de duas semanas alguem efetuou login como root novamente:
detectado em apg
O usuário <<< root >>> efetuou login no servidor.
Máquina acessada: apg.
Data do acesso: Sex Jun 23 13:35:28 BRT 2006.
IP do acesso: 201.78.50.60 4001 6336.
TTY: /dev/pts/0
Desliguei o cabo de rede imediatamente!
Agora, eu gostaria de saber como relatar esses numeros de IPs para as autoridades, etc...
--
Marcelo Luiz de Laia
Ph.D Candidate
São Paulo State University (http://www.unesp.br/eng/) School of Agricultural and Veterinary Sciences Department of Technology Via de Acesso Prof.Paulo Donato Castellane s/n
14884-900 Jaboticabal - SP - Brazil
Fone: +55-016-3209-2675
Cell: +55-016-97098526
--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: