[FUGSPBR] E-mail estranho

Cesar Cantarella cantarella em senffnet.com.br
Sex Fev 1 12:13:14 BRST 2002


Eu rodei e nao acusou nada.
As mensgens que apareciam no final do e-mail (de tentativa de conexao via
ssh) foi a unica coisa estranha que eu percebi.

Reinstalo o XFree????
Mais alguma ideia para saber se mecheram  no meu comp?
O computador esta em casa, o unico que tem conta la eh um amigo meu, de
confiança... : ////

Onde ele diz: rws--x--x  1 root  wheel    1642063 Aug 15 14:36:56 2000
> #/usr/X11R6/bin/XFree86
 O que eh essa permissao "s"????

obrigado

----- Original Message -----
From: Edson Brandi <ebrandi.home em uol.com.br>
To: FUG <fugspbr em fugspbr.org>
Sent: Thursday, January 31, 2002 8:01 PM
Subject: Re: [FUGSPBR] E-mail estranho


Cesar, pelo log seu XFree86 foi alterado, vc nao mexeu nele ???
Sugiro rodar o check root kit ai...

Edson

On Mon, 28 Jan 2002, Cesar Cantarella wrote:

> Recebi esse e-mail na minha maquina (arquivo em anexo, aqui vao as
> partes que nao entendi):
>
>
> #From root Thu Jan 31 03:06:15 2002
> #Return-Path: <root>
> #Received: (from root em localhost)
> #        by cesar.zeus (8.11.6/8.11.6) id g0V514u59877
> #        for root; Thu, 31 Jan 2002 03:01:04 -0200 (BRST)
> #        (envelope-from root)
> #Date: Thu, 31 Jan 2002 03:01:04 -0200 (BRST)
> #From: Charlie Root <root>
> #Message-Id: <200201310501.g0V514u59877 em cesar.zeus>
> #Subject: cesar.zeus security check output
> #To: undisclosed-recipients:;
> #Status: RO
> #
> #Checking setuid files and devices:
> #
> #
> #cesar.zeus setuid diffs:
> #10c10
> #< 390033 -rws--x--x  1 root  wheel    1642063 Aug 15 14:36:56 2000
> #/usr/X11R6/bin/XFree86
> #---
> #> 389989 -rws--x--x  1 root  wheel    1642063 Aug 15 14:36:56 2000
> #/usr/X11R6/bin/XFree86
> #
> #
> #cesar.zeus changes in mounted filesystems:
> #4a5
> #> /dev/ad0s5    /win    msdos rw        0 0
> #
> #
> #Checking for uids of 0:
> #root 0
> #toor 0
>
> O que significa esse XFree86 que pelo que eu entendi foi alterado?
>
> Outra coisa, no fim do e-mail aparece o seguinte:
> #> ipfw: 300 Accept TCP 216.87.213.138:22 200.181.176.164:22 in via tun0
>
> #> ipfw: 300 Accept TCP 216.87.213.138:22 200.181.176.164:22 in via tun0
>
> #> ipfw: 300 Accept TCP 216.87.213.138:3244 200.181.176.164:22 in via
> tun0
> #> ipfw: 300 Accept TCP 216.87.213.138:3244 200.181.176.164:22 in via
> tun0
> #> ipfw: 300 Accept TCP 216.87.213.138:3244 200.181.176.164:22 in via
> tun0
> #> ipfw: 300 Accept TCP 216.87.213.138:3244 200.181.176.164:22 in via
> tun0
> #> ipfw: 300 Accept TCP 216.87.213.138:3244 200.181.176.164:22 in via
> tun
>
> So que no log do firewall, eu nao vi isso, e tb com o last nao vi
> nenhuma conexao vinda desse ip.
>
> Desculpem a ignorancia mas, nao entendi se entraram aki e mudaram alguma
> coisa ou sei la o que...
>
> obrigado
>
> --
> Cesar Cantarella
> http://espec.ppgia.pucpr.br/~cantarella
> cantarella em senffnet.com.br
>
>
>

[ ]'s Edson
                                                   ,        ,
   Edson Brandi                                   /(        )`
   Consultor UNIX                                 \ \___   / |
   Fone:   0XX11 96512996                         /- _  `-/  '
           0XX11 32717325                        (/\/ \ \   /\
   ICQ at  Home: 100503189                       / /   | `    \
                                                 O O   ) /    |
---------------------------------------          `-^--'`<     '
                                                (_.)  _  )   /
Transforme seu PC numa Workstation Unix.         `.___/`    /
 Visite http://www.primeirospassos.org            `-----' /
        http://www.fugspbr.org        <----.     __ / __   \
        http://livecd.fugspbr.org     <----|====O)))==) \) /====
                                      <----'    `--' `.__,' \

----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.

----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.



Mais detalhes sobre a lista de discussão freebsd