[FUG-BR] descobrir processo que ta rodando
Nilson
nilson em forge.com.br
Sábado Fevereiro 13 13:02:22 BRST 2010
Em 13 de fevereiro de 2010 12:30, Marcelo da Silva
<marcelo at mginformatica.com> escreveu:
> Mas olha so
> @400000004b75d8bd1296f304 tcpserver: pid 46621 from 127.0.0.1
> <<<-------- ta vindo do meu propio servidor..
> @400000004b75d8bd129c2edc tcpserver: ok 46621 localhost:127.0.0.1:587
> :127.0.0.1::61632
Olha, não entendo nada nem quero entender de qmail, mas descobrir
o que você quer me parece bem facil. Com lsof você pode fazer varias
pesquisas interessantes, dentre as quais uma básica e pouco lapidada
seria: lsof -n -P | grep TCP | grep 61632
o 61632 seria porta de origem da conexão, essa porta deve ser aleatoria
e você teria que ficar de olho no log, e rodar o lsof na hora H.
Mesmo assim você pode acabar confuso pois se o malware ou hacker
conseguiu acesso de root fica muito fácil esconder os processos dele,
e você pode ficar olhando e olhando e nao vai ver nada.
Nesse caso podes montar o /proc e dar uma fuçada lá dentro procurando
coisas "estranhas", e rodar o unhide (tem no ports) ele pega informações
sobre os processos de varias fontes distintas e te diz as inconsistências
que encontrou. Também faz um portscan básico na máquina pra te dizer
qual é a porta aberta "escondida" que o hacker tá usando pro backdoor.
Outro software interessante é o rkhunter (tem no ports) que como diz
o próprio nome é um caçador de rootkits, muito bom e com uma boa
base de dados de rootkits conhecidos.
E pra finalizar esses meus 10 centavos, para simplesmente parar o
SPAM talvez você possa resolver com uma regra de firewall. Não sei
como o qmail se comunica internamente nem que outros softs você
tem rodando nessa máquina, mas a grosso modo algo assim
resolveria(taparia o sol com a peneira né... mas é melhor que nada):
ipfw add 1 deny tcp from 127.0.0.1 to 127.0.0.1 587
--
Nilson
Mais detalhes sobre a lista de discussão freebsd