[FUG-BR] descobrir processo que ta rodando

[Cleyton Agapito]

Em 13 de fevereiro de 2010 12:30, Marcelo da Silva
<marcelo em mginformatica.com> escreveu:
> Mas olha so
> @400000004b75d8bd1296f304 tcpserver: pid 46621 from 127.0.0.1
> <<<--------    ta vindo do meu propio servidor..
> @400000004b75d8bd129c2edc tcpserver: ok 46621 localhost:127.0.0.1:587
> :127.0.0.1::61632
>

Antes de partir para soluções mais drásticas:

- Dê uma olhada se não tem um script malvado em /var/cron/tabs e
/var/at/jobs, se você já procurou no ps e não tem nenhum processo
estranho lá é provável que execute de tempos em tempos de algum lugar,
esses são os mais prováveis.

- Dê uma busca o diretório dos usuários com "find /usr/home -perm -111
-type f", já que via de regra o script malvado tem que ter permissão
de execução (supondo que o sistema não está comprometido, senão pode
estar em qualquer lugar).

- Derrepente uma é gerar um arquivo com a lista dos executáveis
"normais" do sistema em um "limpo" e no teu e depois fazer um diff dos
dois.

- Verifique se tem alguém logado em períodos próximos à ocorrência com
last, caso o carinha esteja de malandragem escondendo o script.

- Verifique cuidadosamente todos os logs atrás de algo mais significativo.

- Caso ache que sua senha de root tenha sido comprometida tente apagar
os fontes, baixar, compilar e refazer a userland (make buildworld e
make installworld), isso vai remover alguma possível infeccção na
base.

Espero que alguma dessas ajude.

[]'s