[FUG-BR] Rootkit derrubando apache e consumindo a cpu

Sábado Março 17 16:58:20 BRT 2012

Não, não haviam. Geralmente são os primeiros lugares que eu checo.
mais a fundo, conseui ver que ele usou o usuário da minha home page para
fazer tudo.
trocou o index.php por um que ele fez.

No entanto a senha do meu usuário da home page só tinha numeros, o que deve
ter facilitado um força bruta de descobrir.
ele conectava com um cliente ftp apenas para fazer o envio e não ficava
conectado por muito tempo...

Em 17 de março de 2012 16:53, Marcelo Gondim <gondim em bsdinfo.com.br>escreveu:

> Em 17/03/2012 16:16, Saul Figueiredo escreveu:
> > Sim claro
> > Falei apenas do logotipo que deixaram...
> > porem, alem do logotipo deixaram uma serie de outros rastros...
> >
> > ja sei da onde partiu o ataque e tudo mais
> >
> > https://registro.br/cgi-bin/whois/?qr=ibxk.com.br
> >
> > consigui pegar desse ibxk.com.br
> As vezes esses caras também foram vítimas como você. Pelo jeito você
> precisa mesmo rever algumas proteções nesse seu servidor.
> Por um acaso haviam scripts ou coisas estranhas em /tmp    e/ou
> /var/tmp   cujo dono era o www?   :)
>
> >
> > Em 17 de março de 2012 16:11, Antônio Pessoa<atnpessoa em gmail.com>
>  escreveu:
> >
> >> Complicado dizer que foi o Anonymous, muita gente se escondendo e
> >> usando o nome deles para qualquer porcaria que acontece.
> >>
> >> --
> >> Atenciosamente,
> >>
> >> Antônio Pessoa
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> >
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

-- 
"Deve-se aprender sempre, até mesmo com um inimigo."
(Isaac Newton)

Atenciosamente,
Saul Figueiredo
Analista FreeBSD/Linux
Linux Professional Institute Certification Level 2
saulfelipecf em gmail.com
saul-felipe em hotmail.com