[FUG-BR] Rootkit derrubando apache e consumindo a cpu

Saul Figueiredo saulfelipecf em gmail.com
Sábado Março 17 20:45:47 BRT 2012 

Em 17 de março de 2012 20:11, Celso Viana <celso.vianna em gmail.com> escreveu:

> Em 17 de março de 2012 16:58, Saul Figueiredo <saulfelipecf em gmail.com>
> escreveu:
> > Não, não haviam. Geralmente são os primeiros lugares que eu checo.
> > mais a fundo, conseui ver que ele usou o usuário da minha home page para
> > fazer tudo.
> > trocou o index.php por um que ele fez.
> >
> > No entanto a senha do meu usuário da home page só tinha numeros, o que
> deve
> > ter facilitado um força bruta de descobrir.
> > ele conectava com um cliente ftp apenas para fazer o envio e não ficava
> > conectado por muito tempo...
> >
> >
> >
> >
> >
> > Em 17 de março de 2012 16:53, Marcelo Gondim <gondim em bsdinfo.com.br
> >escreveu:
> >
> >> Em 17/03/2012 16:16, Saul Figueiredo escreveu:
> >> > Sim claro
> >> > Falei apenas do logotipo que deixaram...
> >> > porem, alem do logotipo deixaram uma serie de outros rastros...
> >> >
> >> > ja sei da onde partiu o ataque e tudo mais
> >> >
> >> > https://registro.br/cgi-bin/whois/?qr=ibxk.com.br
> >> >
> >> > consigui pegar desse ibxk.com.br
> >> As vezes esses caras também foram vítimas como você. Pelo jeito você
> >> precisa mesmo rever algumas proteções nesse seu servidor.
> >> Por um acaso haviam scripts ou coisas estranhas em /tmp    e/ou
> >> /var/tmp   cujo dono era o www?   :)
> >>
> >> >
> >> > Em 17 de março de 2012 16:11, Antônio Pessoa<atnpessoa em gmail.com>
> >>  escreveu:
> >> >
> >> >> Complicado dizer que foi o Anonymous, muita gente se escondendo e
> >> >> usando o nome deles para qualquer porcaria que acontece.
> >> >>
> >> >> --
> >> >> Atenciosamente,
> >> >>
> >> >> Antônio Pessoa
> >> >> -------------------------
> >> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> >>
> >> >
> >> >
> >>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> >
> >
> > --
> > "Deve-se aprender sempre, até mesmo com um inimigo."
> > (Isaac Newton)
> >
> > Atenciosamente,
> > Saul Figueiredo
> > Analista FreeBSD/Linux
> > Linux Professional Institute Certification Level 2
> > saulfelipecf em gmail.com
> > saul-felipe em hotmail.com
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> Seu /tmp não tem permissão para execução, né?
>
> --
> Celso Vianna
> BSD User: 51318
> http://www.bsdcounter.org
>
> 63 8404-8559
> Palmas/TO
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



Tem não...


-- 
"Deve-se aprender sempre, até mesmo com um inimigo."
(Isaac Newton)

Atenciosamente,
Saul Figueiredo
Analista FreeBSD/Linux
Linux Professional Institute Certification Level 2
saulfelipecf em gmail.com
saul-felipe em hotmail.com

Mais detalhes sobre a lista de discussão freebsd