Olá pessoal,
Uma maquina de um cliente meu foi invadida esta com uns comportamentos estanhos, queria saber como posso fazer um levantamento e corrigir os danos causados.
Atraves de ps obtive informações de 2 processos indevidos.
estoque 2407 0.0 0.0 940 788 ? S 10:23 0:01 init
viviane 1467 0.0 0.0 2180 1140 ? S 10:15 0:00 /usr/local/apache/bin/httpd -DSSL
Com o nmap obtive o sequinte:
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
37/tcp open time
53/tcp open domain
80/tcp open http
110/tcp open pop3
113/tcp open auth
515/tcp open printer
953/tcp open rndc
2008/tcp open conf
6667/tcp open irc
Estas 2 ultimas portas são os serviços que foram implantados através da invasão.
Usando o chkrootkit obtive ainda outras informações.
Checking `bindshell'... INFECTED (PORTS: 6667)
E logo depois o prompt retorna no essa escrita
PuTTYPuTTYPuTTYPuTTYPuTTYPuTTYPuTTYPuTTYPuTTYPuTTY
Vocês poderia me ajudar a iniciar a processo de limpeza dessa maquina?
Grato