[FUG-BR] Resolvido descobrir processo que ta rodando

[Marcelo da Silva]

Ola pessoal.. agradeco a todos que deram dicas que foram de grande
importancia.

o problema era meu webmail, tempos atras compramos um skin da nutsmail e
ele é baseado no squirrel 1.4.8;
esta versao ta com problema...
retirei o webmail e acabou o problema, vou adquirir uma versao atualizada
do webmail.

Abracao a todos..


]On Sat, 13 Feb 2010 13:23:48 -0200, Cleyton Agapito <cragapito at gmail.com>
wrote:
> Em 13 de fevereiro de 2010 12:30, Marcelo da Silva
> <marcelo at mginformatica.com> escreveu:
>> Mas olha so
>> @400000004b75d8bd1296f304 tcpserver: pid 46621 from 127.0.0.1
>> <<<--------    ta vindo do meu propio servidor..
>> @400000004b75d8bd129c2edc tcpserver: ok 46621 localhost:127.0.0.1:587
>> :127.0.0.1::61632
>>
> 
> Antes de partir para soluções mais drásticas:
> 
> - Dê uma olhada se não tem um script malvado em /var/cron/tabs e
> /var/at/jobs, se você já procurou no ps e não tem nenhum processo
> estranho lá é provável que execute de tempos em tempos de algum lugar,
> esses são os mais prováveis.
> 
> - Dê uma busca o diretório dos usuários com "find /usr/home -perm -111
> -type f", já que via de regra o script malvado tem que ter permissão
> de execução (supondo que o sistema não está comprometido, senão pode
> estar em qualquer lugar).
> 
> - Derrepente uma é gerar um arquivo com a lista dos executáveis
> "normais" do sistema em um "limpo" e no teu e depois fazer um diff dos
> dois.
> 
> - Verifique se tem alguém logado em períodos próximos à ocorrência com
> last, caso o carinha esteja de malandragem escondendo o script.
> 
> - Verifique cuidadosamente todos os logs atrás de algo mais
significativo.
> 
> - Caso ache que sua senha de root tenha sido comprometida tente apagar
> os fontes, baixar, compilar e refazer a userland (make buildworld e
> make installworld), isso vai remover alguma possível infeccção na
> base.
> 
> Espero que alguma dessas ajude.