[FUGSPBR] Invasao ...

[Thiago Pinto Damas]

	Bah magrao, teu SSH ta com um trojan!!! Troca logo este SSH, e
coloca uns flags "chflags noschg" nele, muda teu securelevel pra 3, e
troca as senhas dos usuarios que tao no arquivo.
	

On 1 Jul 2002, Jeferson Buchner - Sys_Admin wrote:

> Pessoal preciso da ajuda de voces com um problema de invasao sou melhor
> um snifer de senhas, observei que todas as senhas das conexoes ssh que
> realizo sao gravadas (login e senha) em um arquivo, este arquivo possui
> id e proprietario de root e estava com permissoes rwx para todos os
> usuarios, bom modifiquei as permissoes para somente root mas continua
> armazenado as senhas, ou seja o programa esta rodando como root, mas o
> que acontece eh que nao consegui localiza-lo, como faco para monitorar
> este arquivo e saber qual processo que o modifica e de quem o acessar
> pois preciso saber quem eh acredito ser um dos usuarios cadastrados no
> meu server? ja tentei alguns mas sem sucesso. Sera um problema no
> OpenSSh?
> O conteudo do arquivo do sniffer fica assim:
> user []
> user [senha]
> user2 []
> user2 [senha]
> 
> Outra coisa estranha que notei eh que toda vez que me logo localmente no
> server depois que digito o login aparece uma linha com a msg s/key 97
> de09623, e pede a senha normalmente, soh que se o log eh feito
> normalmente ele nao acrescenta nada naquele arquivo, ja fiz varios
> testes com programas, checando as conexoes de rede e verificando
> arquivos de inicializacao de script e servicos mas nao encontrei nada
> sera que alguem pode me dar uma mao?
> 
> Desde ja agradeco
> 
> 
> ______________________________________________
> http://www2.fugspbr.org/mailman/listinfo/fugspbr
> 

Thiago Pinto Damas - SysAdmin
----------------------------------------------------------------
http://www.vetorialnet.com.br		http://www.ecomp.furg.br
thiago em vetorialnet.com.br		thiago em ecomp.furg.br

______________________________________________
http://www2.fugspbr.org/mailman/listinfo/fugspbr