[FUG-BR] RES: RES: Problema grave no /etc

[Rafael Henrique Silva Faria]

> Thiago:
> O que que eu fiz, mandei por ftp (em um diretorio www), um backdoor e o
> phpshell.

Eu estou tentando um método parecido.
Aproveitando que todo o /etc está com 777, eu estou manipulando os
arquivos do periodic... que são executados como root pelo sistema.

Eu alterei o /etc/periodic/daily/999.local
E adicionei as linhas:

chmod 644 /etc/login.conf
chmod 644 /etc/login.conf.db
chmod -R 644 /etc/ssh
chmod 600 /etc/ssh/ssh_host_dsa_key
chmod 600 /etc/ssh/ssh_host_key
chmod 600 /etc/ssh/ssh_host_rsa_key

Isso via um script PHP, eu dei um file_get_contents(
'/etc/periodic/daily/999.local' );
Alterei ele, e dei um file_put_contents( .. );

Agora basta esperar as 3 horas da manhã apra que a CRON execute os
scripts dentro do periodic/daily.

Para quem estiver perguntando pq eu nao editei o arquivo
/etc/periodic... direto pelo FTP, bom o NcFTPd não permite.
Ele não deixa eu tocar em nenhum arquivo dentro do /etc. Isso pode ser
uma medida de segurança excelente... mas neste momento estou querendo
jogar esse NcFTPd na parede. :P

>
> Se voce esperar, as permissoes voltam ao normal no /etc.
>

Infelizmente isso não está funcionando comigo. :( As permissões foram
alteradas no dia 19/12... e até hoje eu estou tentando resolver o
problema. (O cara não me avisou o que ele tinha feito, eu fui
descobrir no dia 21.. quando tentei entrar no ssh do servidor para
realizar uma atualização)

> Assim, resolvi o meu problema.
> Hoje a maquina funciona bem.

Espero que o procedimento que eu fiz funcione essa madrugada. Estou
cruzando os dedos. hehe

Quem tiver mais alguma sugestão... eu agradeço.

Rafael Henrique Faria
Desenvolvimento @ Faculdade de Ciencias e Letras da UNESP
rfaria em fclar.unesp.br