[FUG-BR] Rootkit derrubando apache e consumindo a cpu

Celso Viana celso.vianna em gmail.com
Sábado Março 17 20:11:14 BRT 2012


Em 17 de março de 2012 16:58, Saul Figueiredo <saulfelipecf at gmail.com> escreveu:
> Não, não haviam. Geralmente são os primeiros lugares que eu checo.
> mais a fundo, conseui ver que ele usou o usuário da minha home page para
> fazer tudo.
> trocou o index.php por um que ele fez.
>
> No entanto a senha do meu usuário da home page só tinha numeros, o que deve
> ter facilitado um força bruta de descobrir.
> ele conectava com um cliente ftp apenas para fazer o envio e não ficava
> conectado por muito tempo...
>
>
>
>
>
> Em 17 de março de 2012 16:53, Marcelo Gondim <gondim at bsdinfo.com.br>escreveu:
>
>> Em 17/03/2012 16:16, Saul Figueiredo escreveu:
>> > Sim claro
>> > Falei apenas do logotipo que deixaram...
>> > porem, alem do logotipo deixaram uma serie de outros rastros...
>> >
>> > ja sei da onde partiu o ataque e tudo mais
>> >
>> > https://registro.br/cgi-bin/whois/?qr=ibxk.com.br
>> >
>> > consigui pegar desse ibxk.com.br
>> As vezes esses caras também foram vítimas como você. Pelo jeito você
>> precisa mesmo rever algumas proteções nesse seu servidor.
>> Por um acaso haviam scripts ou coisas estranhas em /tmp    e/ou
>> /var/tmp   cujo dono era o www?   :)
>>
>> >
>> > Em 17 de março de 2012 16:11, Antônio Pessoa<atnpessoa at gmail.com>
>>  escreveu:
>> >
>> >> Complicado dizer que foi o Anonymous, muita gente se escondendo e
>> >> usando o nome deles para qualquer porcaria que acontece.
>> >>
>> >> --
>> >> Atenciosamente,
>> >>
>> >> Antônio Pessoa
>> >> -------------------------
>> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >>
>> >
>> >
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> --
> "Deve-se aprender sempre, até mesmo com um inimigo."
> (Isaac Newton)
>
> Atenciosamente,
> Saul Figueiredo
> Analista FreeBSD/Linux
> Linux Professional Institute Certification Level 2
> saulfelipecf at gmail.com
> saul-felipe at hotmail.com
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Seu /tmp não tem permissão para execução, né?

-- 
Celso Vianna
BSD User: 51318
http://www.bsdcounter.org

63 8404-8559
Palmas/TO


Mais detalhes sobre a lista de discussão freebsd