[Ubuntu-BR] Socorro! Ataque - Parte 2
Rodrigo Escobar (diguin)
diguin em superonda.com.br
Sábado Fevereiro 11 12:26:35 UTC 2006
Pronto cara.. voce esta com a faca e o queijo na mao.. ele identificou os
diretorios suspeitos..
Warning! ]
> ---------------
> /dev/.static
> /dev/.udevdb
> /dev/.initramfs-tools /etc/.java
> /etc/.pwd.lock
> ---------------
> Please inspect: /dev/.static (directory) /dev/.udevdb (directory)
/etc/.java (directory)
>
provavelmente todos esses arquivos sao trojans e/ou arquivos que o cara usa
para entrar na sua maquina e fazer as modificacoes scan e etc.. por enquanto
se eu fosse voce.. dava uma olhada nesses diretorios por logs ou qualquer
outros traços que o invasor possa ter utilizado.. ve se rola uma engenharia
reversa.. pra descobrir de onde eh o que como cada coisa funciona.. e depois
que voce remover isso tudo identificar por onde que o invasor entrou na sua
maquina.. atualize ou php ou qualquer outro script que permita a execucao da
funcao system().. ou cgi ou qualquer coisa do tipo.. atualize seus daemons e
procure por falhas.. tente sempre usar as versoes mas atuais dos daemons e
foque sua pesquisa em todos services que voce usa se existe alguma
vulnerabilidade ou qualquer coisa do tipo.. para voce saber se proteger e
ter nocao de tudo que acontece no seu sistema..
Eu tenho conhecimento para fazer essa engenharia reversa.. e para
identificar os arquivos infectados, services e te deixar a par do assunto..
se quiser conversar mais sobre isso me manda um email:
diguin em superonda.com.br que eu posso te ajudar melhor.
Att,
Rodrigo Escobar
--------- Mensagem Original --------
De: Lista de discussão do LoCoTeam Brasileiro <ubuntu-br em lists.ubuntu.com>
Para: Lista de discussão do LoCoTeam Brasileiro <ubuntu-br em lists.ubuntu.com>
Assunto: Re: [Ubuntu-BR] Socorro! Ataque - Parte 2
Data: 11/02/06 10:03
> Em Sex, 2006-02-10 Ã s 22:32 -0200, Rodrigo Escobar (diguin) escreveu:
> > Jose,
> >
> > heheh normal com certeza nao eh neh :).. mas nao precisava ter colado
tudo..
> > mas isso pode com certeza ser algum scan que esta rodando
"hideado"
> > escondido no seu sistema.. rode o rkhunter como eu te recomendei
identifique
> > esses arquivos e delete-os.. de preferencia saiba lidar com os
arquivos de
> > log da sua maquina /var/log para tentar encontrar o suposto invasor
ou
> > suposta maquina acessando o seu sistema para efetuar esses
determinados
> > comandos..
> >
> Parece que o rkhunter achou alguma coisa...
>
> * Filesystem checks
> Checking /dev for suspicious files... [ OK ]
> Scanning for hidden files... [ Warning! ]
> ---------------
> /dev/.static
> /dev/.udevdb
> /dev/.initramfs-tools /etc/.java
> /etc/.pwd.lock
> ---------------
> Please inspect: /dev/.static (directory) /dev/.udevdb (directory)
/etc/.java (directory)
>
> [Press <ENTER> to continue]
>
> Por favor, alguém pode me ajudar a continuar?
>
>
>
> --
> José Geraldo Gouvêa <jggouvea em gmail.com>
>
>
>
> --===============0961152352==
> Content-Type: text/plain; charset="iso-8859-1"
> MIME-Version: 1.0
> Content-Transfer-Encoding: quoted-printable
> Content-Disposition: inline
>
> -- =
>
> ubuntu-br mailing list
> ubuntu-br em lists.ubuntu.com
> www.ubuntu-br.or
________________________________________________
UebiMiau Superonda Wireless Internet 2.7.2
More information about the ubuntu-br
mailing list