[Ubuntu-BR] Fui hackeado??? LS_COLORS...

Danilo Magrini danilo.magrini em gmail.com
Sexta Fevereiro 6 12:50:09 UTC 2009 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

2009/2/6 Filipe Fedalto <filcobra.l em gmail.com>

É Filipe... complicado isso. Bom inicialmente, não sei se é o seu
caso, mas vou colocar uma dica aqui muitas vezes negligenciada por
muitos administradores. A maioria dos firewalls que vi até hoje, fazem
log das tentativas de acesso não autorizados, alguns com informações
detalhadíssimas sobre a possível origem das tentativas. Porém poucos
são os firewalls que eu vi que também "logam" as tentativas BEM
SUCEDIDAS pois são essas que são as perigosas! Nesse caso você tem
sempre mais informações para avaliar.

Bom dito isso vou tentar dar algumas opiniões sobre o que você enviou.
Primeiramente eu acredito que você deveria, se possivel, isolar essa
máquina... tanto de acesso externo quanto de interno. Depois tente
baixar algum anti-rootkit para avaliar se algum foi executado ou
deixado no seu sistema. Como você disse que seu sistema está com
comportamentos estranhos podemos concluir que isso não foi ação de um
"cracker profissional" kkkkk se é que isso existe. O que eu quero
dizer é que se a invasão partiu de um cracker inteligente e que visa
obter informações suas ele jamais iria "estragar" alguma coisa que
seja visualmente perceptivel. Quando uma invasao ocorre e você tem
dados excluidos ou qualquer coisa desse tipo, é bem provavel que é
algum adolescente querendo fazer farra. Mas vamos aos fatos, vou
tentar dar minha opinião sobre seu problema abaixo.

E aqui está uma demonstração do problema:

filipe em eainet:/$ ls
ls: unrecognized prefix: do
ls: unparsable value for LS_COLORS environment variable
bin         dev
initrd.img  opt         svn
    vmlinuz
boot        etc         lib
        proc        sys
cdrom       ftp         lost+found
 root        tmp
core        home        media
      sbin        usr
davhome     initrd      mnt
    srv         var

E o $LS_COLORS:

filipe em eainet:/$ env |grep LS_COLORS
LS_COLORS=no=00:fi=00:di=01;34:ln=01;36:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.gz=01;31:*.bz2=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.avi=01;35:*.fli=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.flac=01;35:*.mp3=01;35:*.mpc=01;35:*.ogg=01;35:*.wav=01;35:

Como podem ver, o sistema reclama que não entende o "do" no $LS_COLORS. Isto
começou a acontecer "do nada". Ou melhor, sem nenhuma intervenção de alguem
da empresa, ao menos.
eu não acho que a reclamação é de não encontrar o "do" no LS_COLORS tá
mais com cara de qua é um alias que foi criado para o "ls" e que está
com algum problema. Já verificou o arquivo de criação de aliases do
sistema?
você comenta também que não houve intervenção intencional de ninguém
da empresa, mas por acaso o sistema está fazendo alguma atualização
automaticamente?

- --
Danilo G. Magrini
danilo.magrini (AT) gmail (DOT) com
GPG Key:
http://keyserver.ubuntu.com:11371/pks/lookup?op=get&search=0x3EAD0BBAFDE75A11
"Any fool can write code that a computer can understand. Good
programmers write code that humans can understand." (Martin Fowler)

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: http://getfiregpg.org

iEYEARECAAYFAkmMMfkACgkQPq0Luv3nWhHOlACg0kY1BsTb1ywwd+Fxqa1JysvL
2LgAoLERDSYZMm6kFwLdd6lQyoHGTsYG
=NR1E
-----END PGP SIGNATURE-----

More information about the ubuntu-br mailing list