+ Responder ao Tópico



  1. Olá amigos,

    Como faço para descobrir um arquivo script mal intencionado no servidor ?
    Tenho esta certeza pois nenhum email está sendo entregue. A fila esta aumentando e no log maillog aparece isso:

    ep 22 10:28:04 srv1 qmail: 1253626084.963061 tcpserver: ok 29310 srv1.xxxxx.com.br.xxxxx.com.br:xxxxxx:25 :187.2.32.62::61169
    Sep 22 10:28:05 srv1 qmail: 1253626085.140782 tcpserver: end 29310 status 256
    Sep 22 10:28:05 srv1 qmail: 1253626085.140894 tcpserver: status: 3/60
    Sep 22 10:28:05 srv1 qmail: 1253626085.243335 tcpserver: status: 4/60
    Sep 22 10:28:05 srv1 qmail: 1253626085.243490 tcpserver: pid 29311 from 187.2.32.62
    Sep 22 10:28:05 srv1 qmail: 1253626085.244268 tcpserver: ok 29311 srv1.xxxxxxxxx.com.br:xxxxxxx:25 :187.2.32.62::64569
    Sep 22 10:28:05 srv1 qmail: 1253626085.416885 tcpserver: end 29311 status 256
    Sep 22 10:28:05 srv1 qmail: 1253626085.417085 tcpserver: status: 3/60
    Sep 22 10:28:05 srv1 qmail: 1253626085.528007 tcpserver: status: 4/60
    Sep 22 10:28:05 srv1 qmail: 1253626085.528167 tcpserver: pid 29312 from 187.2.32.62
    Sep 22 10:28:05 srv1 qmail: 1253626085.528943 tcpserver: ok 29312 srv1.xxxx.com.br.xxxx.com.br:xxxxxxxx:25 :187.2.32.62::63895
    Sep 22 10:28:05 srv1 qmail: 1253626085.576397 tcpserver: end 29286 status 0
    Sep 22 10:28:05 srv1 qmail: 1253626085.576516 tcpserver: status: 3/60
    Sep 22 10:28:05 srv1 qmail: 1253626085.703869 tcpserver: end 29312 status 256
    Sep 22 10:28:05 srv1 qmail: 1253626085.703929 tcpserver: status: 2/60
    Sep 22 10:28:05 srv1 qmail: 1253626085.902532 tcpserver: status: 3/60
    Sep 22 10:28:05 srv1 qmail: 1253626085.902694 tcpserver: pid 29313 from 187.2.32.62
    Sep 22 10:28:05 srv1 qmail: 1253626085.903474 tcpserver: ok 29313 srv1.xxxxxxx.com.br:xxxxxxxxx:25 :187.2.32.62::63627
    Sep 22 10:28:06 srv1 qmail: 1253626086.154050 tcpserver: end 29313 status 256
    Sep 22 10:28:06 srv1 qmail: 1253626086.154181 tcpserver: status: 2/60
    Sep 22 10:28:06 srv1 qmail: 1253626086.260857 tcpserver: status: 3/60
    Sep 22 10:28:06 srv1 qmail: 1253626086.320107 tcpserver: pid 29323 from 187.2.32.62
    Sep 22 10:28:06 srv1 qmail: 1253626086.321076 tcpserver: ok 29323 srv1.xxxxx.com.br.xxxx.com.br:xxxxx.xxxx:25 :187.2.32.62::65025
    Sep 22 10:28:06 srv1 qmail: 1253626086.510777 tcpserver: end 29323 status 256
    Sep 22 10:28:06 srv1 qmail: 1253626086.510838 tcpserver: status: 2/60
    Sep 22 10:28:06 srv1 qmail: 1253626086.609746 tcpserver: status: 3/60
    Sep 22 10:28:06 srv1 qmail: 1253626086.610001 tcpserver: pid 29364 from 187.2.32.62
    Sep 22 10:28:06 srv1 qmail: 1253626086.610684 tcpserver: ok 29364 srv1.xxxxxx.com.br.xxxxx.com.br:xxxxxx:25 :187.2.32.62::62709
    Sep 22 10:28:06 srv1 qmail: 1253626086.797626 tcpserver: end 29364 status 256
    Sep 22 10:28:06 srv1 qmail: 1253626086.797995 tcpserver: status: 2/60

    Detalhe : É um server de vários domínios. No momento tem 55 domínios operando por este servidor.

    Valew amigos.

    Uma ótima semana e fiquem com Deus !!!

  2. Amigo, tente passar um chkrootkit para checar se há algo errado com seu sistema.



  3. isso, alem do chrootkit, dá uma sniffada, as vezes é alguma máquina com virus....







Tópicos Similares

  1. Análise - Meu server está sofrendo com "Brute Force"!
    Por capgaiotto no fórum Segurança
    Respostas: 2
    Último Post: 19-04-2006, 01:01
  2. Analisem meu Firewall problema com Terminal Server
    Por b0rin no fórum Servidores de Rede
    Respostas: 1
    Último Post: 18-02-2006, 13:29
  3. o Site esta com algum problema?
    Por no fórum UnderLinux
    Respostas: 6
    Último Post: 21-08-2005, 21:01
  4. Como instalar Linux em um PC que já está com WIN XP ???
    Por SAPPORO no fórum Servidores de Rede
    Respostas: 3
    Último Post: 28-06-2004, 13:19
  5. Como sei onde está montado???
    Por serrato no fórum Servidores de Rede
    Respostas: 2
    Último Post: 29-07-2002, 13:43

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L