Still wrote:
* Ohayou gozaimassu Daniel-sama:Pessoal, estou com um problemào aqui e gostaria apenas de tirar uma dúvida com vocês. O pessoal que administra minha rede disse que meu servidor firewall nat está com um vírus e consequentemente enviando e-mails pra um monte de gente e talz.. mas esse servidor é debian e não sei o tipo de atitude que tenho que tomar. Provisoriamente, bloqueei a porta 25 na saída e resolveu, mas gostaria de ver se ele está com vírus mesmo ou se alguém está utilizando-o para enviar os vírus... nas minhas máquinas da rede está tudo ok, sem vírus... bom, há algum vírus que faça isso no debian? só ouvi falar desse tipo pra windows... e se houver, há algum anti-virus fácil e rápido de instalar (via apt-get, por exemplo)?Vírus no Debian eu não tive notícias, mas tem alguns worms que podem fazer isso sim. Vc pode rodar um chkrootkit para ver se existe alguma coisa. Além disso, vc teve acesso a algum desses e-mails que foram enviados em massa ? Pode ser que seja uma conta de um usuário somente que está com problemas.
Uma vez, uma mulher (da equipe de segurança ou sei lah de onde aqui da Unicamp) me ligou, bem brava, falando que a maquina IP x.x.x.x estava mandando um monte de vírus nimda para a conta de um prof; ele reclamou e ela foi tomar 'as devidas providências'. Ou seja, já chegou dando voadora em mim.
E pra eu explicar que essa máquina rodava linux e q ela estava viajando? Fiquei de verificar e desligamos. Na hora fui olhar nos logs (do amavis), e vi que o e-mail do prof. era remetente (forjado) do e-mail gerado pelo virus, e ele recebia um alerta (do amavis) falando que ele tinha mandado um virus, etc e tal.
Na hora que eu ia ligar pra mulher, detonando-a, toca o telefone, e era a própria! pedindo mil desculpas, ela havia confundido os logs, etc. Isso pq eu já estava terminando de escrever um e-mail detalhando toda a situacao e que era um grande engano, com cópia pra um monte de gente (falando de incompetencias e tal). Ai ela falou q eu não precisava me incomodar em mandar nada (claro, eu estava detonando ela... hehehehe)
Em resumo, veja se isso não é o seu caso! Ou entao, algum micro da sua sub-rede que esteja contaminado e está fazendo relay no seu servidor!
-- Marcos