[FUG-BR] Resolvido descobrir processo que ta rodando

Zhu Sha Zang zhushazang em yahoo.com.br
Segunda Fevereiro 15 14:03:30 BRST 2010 

Em 15/2/2010 12:00, Marcelo da Silva escreveu:
> Ola pessoal.. agradeco a todos que deram dicas que foram de grande
> importancia.
>
> o problema era meu webmail, tempos atras compramos um skin da nutsmail e
> ele é baseado no squirrel 1.4.8;
> esta versao ta com problema...
> retirei o webmail e acabou o problema, vou adquirir uma versao atualizada
> do webmail.
>
> Abracao a todos..
>
>
> ]On Sat, 13 Feb 2010 13:23:48 -0200, Cleyton Agapito <cragapito em gmail.com>
> wrote:
>   
>> Em 13 de fevereiro de 2010 12:30, Marcelo da Silva
>> <marcelo em mginformatica.com> escreveu:
>>     
>>> Mas olha so
>>> @400000004b75d8bd1296f304 tcpserver: pid 46621 from 127.0.0.1
>>> <<<--------    ta vindo do meu propio servidor..
>>> @400000004b75d8bd129c2edc tcpserver: ok 46621 localhost:127.0.0.1:587
>>> :127.0.0.1::61632
>>>
>>>       
>> Antes de partir para soluções mais drásticas:
>>
>> - Dê uma olhada se não tem um script malvado em /var/cron/tabs e
>> /var/at/jobs, se você já procurou no ps e não tem nenhum processo
>> estranho lá é provável que execute de tempos em tempos de algum lugar,
>> esses são os mais prováveis.
>>
>> - Dê uma busca o diretório dos usuários com "find /usr/home -perm -111
>> -type f", já que via de regra o script malvado tem que ter permissão
>> de execução (supondo que o sistema não está comprometido, senão pode
>> estar em qualquer lugar).
>>
>> - Derrepente uma é gerar um arquivo com a lista dos executáveis
>> "normais" do sistema em um "limpo" e no teu e depois fazer um diff dos
>> dois.
>>
>> - Verifique se tem alguém logado em períodos próximos à ocorrência com
>> last, caso o carinha esteja de malandragem escondendo o script.
>>
>> - Verifique cuidadosamente todos os logs atrás de algo mais
>>     
> significativo.
>   
>> - Caso ache que sua senha de root tenha sido comprometida tente apagar
>> os fontes, baixar, compilar e refazer a userland (make buildworld e
>> make installworld), isso vai remover alguma possível infeccção na
>> base.
>>
>> Espero que alguma dessas ajude.
>>     
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>   

É, software desatualizado ou "não-patcheado" são muitas vezes causas de
falhas graves. Por aqui foi o squid que ficou sendo usado como proxy
anônimo e spammer...

..mas

Como descobriu que era do webmail??

att

Mais detalhes sobre a lista de discussão freebsd