RES: [msg longa] Re: Invadiram servidor e trocaram senha root .... O que fazer???

To: "Marcelo Luiz de Laia" <mlaia@fcav.unesp.br>, "Debian" <debian-user-portuguese@lists.debian.org>
Subject: RES: [msg longa] Re: Invadiram servidor e trocaram senha root .... O que fazer???
From: "Gustavo Mendes de Carvalho" <GCARVALHO@diveo.net.br>
Date: Fri, 23 Jun 2006 16:47:55 -0300
Message-id: <[🔎] F10415DA092DD647AF6DF581E9F5679E16191D@mailit433.corp.diveo.net.br>

Marcelo,

Va até o site do registro.br, digite o ip do cidadao (201.78.50.60) e procure a conta abuse do detentor do IP

inetnum:       201.78/15
asn:           AS7738
ID abusos:     CGR13
entidade:      Telemar Norte Leste S.A.
documento:     002.558.134/0001-58
responsável:   Marlemar Telgon
endereço:      Rua Humberto de Campos, 425, 7º andar
endereço:      22430-190 - Rio de Janeiro - RJ

ID:            CGR13
nome:          Centro de Gerencia de Rede TELEMAR
e-mail:        abuse@telemar.net.br

Mande um email com o log do acesso e peça rapidez no atendimento.


Gustavo Mendes de Carvalho
Diveo do Brasil Telecomunicações
www.diveo.net.br

-----Mensagem original-----
De: Marcelo Luiz de Laia [mailto:mlaia@fcav.unesp.br] 
Enviada em: sexta-feira, 23 de junho de 2006 14:47
Para: Debian
Assunto: [msg longa] Re: Invadiram servidor e trocaram senha root .... O que fazer???

Marcelo Luiz de Laia wrote:
Ola Pessoal,

So para relatar o que aconteceu depois da invasao.

Recuperei a senha do root com auxilio de um live-cd.

Procurei nos arquivos de log do apache e encontrei o seguinte:

Descobri que o cara usou esse escript:

http://triton2006.100free.com/cmd.txt

Entao, eu restaurei a senha do root. Rodei um rootkit para ver se havia alguma mudanca. Nao encontrou nada.

Desabilitei o modulo My_eGallery  do site e pus um script no profile do root para me avisar quando alguem efetivasse login como root.

Pois bem, depois de duas semanas alguem efetuou login como root novamente:

detectado em apg

O usuário <<< root >>> efetuou login no servidor.
Máquina acessada: apg.
Data do acesso: Sex Jun 23 13:35:28 BRT 2006.
IP do acesso: 201.78.50.60 4001 6336.
TTY: /dev/pts/0

Desliguei o cabo de rede imediatamente!

Agora, eu gostaria de saber como relatar esses numeros de IPs para as autoridades, etc...

--
Marcelo Luiz de Laia
Ph.D Candidate
São Paulo State University (http://www.unesp.br/eng/) School of Agricultural and Veterinary Sciences Department of  Technology Via de Acesso Prof.Paulo Donato Castellane s/n
14884-900   Jaboticabal - SP - Brazil
Fone: +55-016-3209-2675
Cell: +55-016-97098526


-- 
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

Prev by Date: Script basico
Next by Date: Re: recebimento
Previous by thread: Re: Script basico
Next by thread: RES: Tutorial LDAP
Index(es):
- Date
- Thread