[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: danezuTPM e test123



Em 01/04/07, Elton Simões Baptista<esbaptista@gmail.com> escreveu:
Bom dia lista,

Em servidor a senha do root foi trocada e achei dois usuarios "novos"
danezuPTM e test123.

Alguem sabe se isso trata-se de rootkit ou algum outro tipo de ataque
conhecido ?

Estou preocupado que o invasor tenha deixado alguma coisa rodando,
estou vasculhando e nao encontro nada...

Alguma sugestao ?

Pra tirar o peso da consciência, uma reinstalação viria bem. Não sem
antes descobrir o que causou o problema - uma falta de atualização,
uma senha fraca, exploração de relação de confiança.... pode ser muita
coisa mesmo. Sem saber mais ou menos como foi o problema, reformatar
pode apenas adiar pois o bug ser inocentemente reestabelecido.

A não ser que vc tenha interesse em estudar um pouco de 'forensics' e
coisas a fim, não acho que valhe a pena investir tempo em recuperar
uma máquina que foi comprovadamente invadida, e teve a conta/senha de
root comprometida.

Vc pode verificar as datas dos arquivos, varrer todos os logs da
epoca, observar o /tmp com muito cuidado, ver o ~/public_html dos
usuários,.... são muitos os lugares mesmo.

--
Marcos



Reply to: