tive meu servidor envadido
foi instalado sniffer ..como fazer pra rancar essa bosta
eth0 Link encap:Ethernet HWaddr 52:54:05:F3:95:01
inet addr:10.0.0.1 Bcast:10.0. ...
UP BROADCAST RUNNING PROMISC MULTICAST ...
so fica entrando em modo promisc
tive meu servidor envadido
foi instalado sniffer ..como fazer pra rancar essa bosta
eth0 Link encap:Ethernet HWaddr 52:54:05:F3:95:01
inet addr:10.0.0.1 Bcast:10.0. ...
UP BROADCAST RUNNING PROMISC MULTICAST ...
so fica entrando em modo promisc
# ifconfig eth0 -promisc
:wink:
eu ja fiz isso deu certo..mas ele fica executando toda horas,,]\
Bom se vc ja fez # ifconfig eth0 -promisc
e mesmo assim não deu certo da uma olhada no cron pra ver se não tem nada de diferente agendando... De uma olahda tbm em # /etc/init.d/
veja se não existem algum script desconhecido!!
Valeu...
ele NUNCA deixa de ser promisc ou depois de um tempo ele volta a ser promisc??? se depois de um tempo ele volta a ser, entao deve ter algo no cronPostado originalmente por Michael
bom se ele ta fazendo isso com certeza ele abriu alguma porta tb, roda um nmap na sua maquina pra ver oq tem aberto
nmap localhost
se tiver alguma porta desconhecida vc executa o comando
fuser -n tcp PORTA
ele vai te mostrar o PID do processo q ta nessa porta ae vc faz
ps -aux | grep PID
agora vc tem o script q ta fazendo isso... agora manda ele pro espaco
mas alem disso eh bom vc checar senha/permissoes,etc..
Depois de um tmp ele volta a se promisc; Pode ter algo no cron ou agum daemon em ação!!...Postado originalmente por SDM
eu reinstalaria o servidor...
Concordo ;]Postado originalmente por mistymst
eu ja fiz tudo que imagina..nesse mundo cara...
ve como fica meu preocessos
root 116 0.0 0.1 1284 228 ? T Apr24 0:00 hostname oswa.ssss.com.br
root 117 0.0 0.0 0 0 ? Z Apr24 0:00 [hostname <defunct>]
root 138 0.0 0.0 0 0 ? SW Apr24 0:00 [khubd]
root 213 0.0 0.1 1340 232 ? T Apr24 0:00 mount -f /
root 228 0.0 0.0 0 0 ? Z Apr24 0:00 [mount <defunct>]
root 389 0.0 0.3 1384 596 ? S Apr24 2:36 syslogd -m 0
root 401 0.0 0.2 1916 492 ? S Apr24 0:00 klogd
root 456 0.0 0.1 1292 224 ? T Apr24 0:00 chmod 600 /var/run/random-seed
root 465 0.0 0.0 0 0 ? Z Apr24 0:00 [chmod <defunct>]
dudu 9583 0.0 0.1 1288 232 ? T Apr27 0:00 /bin/hostname -s
dudu 9584 0.0 0.0 0 0 ? Z Apr27 0:00 [hostname <defunct>]
root 11250 0.0 0.1 1296 276 ? S Apr27 0:24 chmod 700 /etc/linuxconf/archive
faz o seguinte cara baixa um dos rootkits que o daniel cid aki do site fez e veja oq ele vai encontrar