[FUG-BR] RES: RES: Problema grave no /etc

Christopher Giese - iRapida chris em irapida.com.br
Sexta Dezembro 22 17:26:30 BRST 2006 

faz assim

faz um cvsup ;)

mv /etc /etc-old
mkdir etc

ai usa o mergemaster -pi

ele vai colocar tudo la dentro
e depois vc soh sobrepoe o que achar importante (master.passwd groups e 
tals)

;)

t+

Chris

Rafael Henrique Silva Faria wrote:
>> Thiago:
>> O que que eu fiz, mandei por ftp (em um diretorio www), um backdoor e o
>> phpshell.
>>     
>
> Eu estou tentando um método parecido.
> Aproveitando que todo o /etc está com 777, eu estou manipulando os
> arquivos do periodic... que são executados como root pelo sistema.
>
> Eu alterei o /etc/periodic/daily/999.local
> E adicionei as linhas:
>
> chmod 644 /etc/login.conf
> chmod 644 /etc/login.conf.db
> chmod -R 644 /etc/ssh
> chmod 600 /etc/ssh/ssh_host_dsa_key
> chmod 600 /etc/ssh/ssh_host_key
> chmod 600 /etc/ssh/ssh_host_rsa_key
>
> Isso via um script PHP, eu dei um file_get_contents(
> '/etc/periodic/daily/999.local' );
> Alterei ele, e dei um file_put_contents( .. );
>
> Agora basta esperar as 3 horas da manhã apra que a CRON execute os
> scripts dentro do periodic/daily.
>
> Para quem estiver perguntando pq eu nao editei o arquivo
> /etc/periodic... direto pelo FTP, bom o NcFTPd não permite.
> Ele não deixa eu tocar em nenhum arquivo dentro do /etc. Isso pode ser
> uma medida de segurança excelente... mas neste momento estou querendo
> jogar esse NcFTPd na parede. :P
>
>   
>> Se voce esperar, as permissoes voltam ao normal no /etc.
>>
>>     
>
> Infelizmente isso não está funcionando comigo. :( As permissões foram
> alteradas no dia 19/12... e até hoje eu estou tentando resolver o
> problema. (O cara não me avisou o que ele tinha feito, eu fui
> descobrir no dia 21.. quando tentei entrar no ssh do servidor para
> realizar uma atualização)
>
>   
>> Assim, resolvi o meu problema.
>> Hoje a maquina funciona bem.
>>     
>
> Espero que o procedimento que eu fiz funcione essa madrugada. Estou
> cruzando os dedos. hehe
>
> Quem tiver mais alguma sugestão... eu agradeço.
>
> Rafael Henrique Faria
> Desenvolvimento @ Faculdade de Ciencias e Letras da UNESP
> rfaria at fclar.unesp.br
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>   

-- 
#################################
#     Christopher Giese 	#
#  SysAdm - iRapida Telecom	#
# BSD / Linux / *nix / Cisco	#
#    chris at irapida.com.br	#
#  http://www.bsdux.com.br	#
#################################

"O gênio se compõe de dois por cento de talento e
noventa e oito por cento de perseverante aplicação".
(Ludwig Van Beethoven)

Mais detalhes sobre a lista de discussão freebsd