+ Responder ao Tópico



  1. #1
    sady
    Visitante

    Padrão o que é isso???

    eu tava fazendo uma verificaçãozinha básica no servidor (Mandrake linux)... dei um top e me apareceu algo meio alarmante:

    top - 17:20:34 up 5:21, 4 users, load average: 4.07, 2.25, 1.46
    Tasks: 154 total, 3 running, 151 sleeping, 0 stopped, 0 zombie
    Cpu(s): 30.2% user, 69.8% system, 0.0% nice, 0.0% idle, 0.0% IO-wait
    Mem: 512588k total, 509012k used, 3576k free, 58064k buffers
    Swap: 811240k total, 0k used, 811240k free, 249828k cached

    PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
    11637 cesar 25 0 1408 456 1236 R 73.0 0.1 7:25.06 pscan2
    2826 squid 15 0 25928 18m 3604 D 17.1 3.7 32:16.54 squid
    11553 cesar 16 0 2496 1048 2268 S 1.3 0.2 0:06.56 atac
    11573 cesar 16 0 2492 1084 2268 S 1.0 0.2 0:04.98 atac
    11530 cesar 15 0 892 516 820 S 0.7 0.1 0:02.79 ssh-scan
    11556 cesar 15 0 2492 1080 2268 S 0.7 0.2 0:04.40 atac
    11559 cesar 15 0 2492 1084 2268 S 0.7 0.2 0:04.91 atac
    11569 cesar 15 0 2492 1080 2268 S 0.7 0.2 0:04.67 atac
    11570 cesar 16 0 2492 1080 2268 S 0.7 0.2 0:04.19 atac
    11886 root 17 0 1976 1036 1776 R 0.7 0.2 0:00.05 top
    6713 root 15 0 0 0 0 D 0.3 0.0 0:03.47 pdflush
    11523 cesar 15 0 892 516 820 S 0.3 0.1 0:02.67 ssh-scan
    11524 cesar 15 0 892 560 820 S 0.3 0.1 0:01.98 ssh-scan
    11526 cesar 15 0 892 560 820 S 0.3 0.1 0:01.87 ssh-scan
    11537 cesar 15 0 892 560 820 S 0.3 0.1 0:01.97 ssh-scan
    11538 cesar 15 0 892 560 820 S 0.3 0.1 0:01.99 ssh-scan
    11539 cesar 15 0 892 560 820 S 0.3 0.1 0:01.16 ssh-scan
    11543 cesar 15 0 892 560 820 S 0.3 0.1 0:02.07 ssh-scan
    11568 cesar 15 0 2492 1080 2268 S 0.3 0.2 0:04.62 atac
    1 root 16 0 1408 496 1256 S 0.0 0.1 0:17.84 init
    2 root 34 19 0 0 0 S 0.0 0.0 0:00.00 ksoftirqd/0
    3 root 5 -10 0 0 0 S 0.0 0.0 0:00.00 events/0
    4 root 5 -10 0 0 0 S 0.0 0.0 0:00.38 kblockd/0
    6 root 5 -10 0 0 0 S 0.0 0.0 0:00.01 khelper
    5 root 15 0 0 0 0 S 0.0 0.0 0:00.00 kapmd
    8 root 15 0 0 0 0 S 0.0 0.0 0:02.02 pdflush
    10 root 15 -10 0 0 0 S 0.0 0.0 0:00.00 aio/0
    9 root 15 0 0 0 0 S 0.0 0.0 0:00.00 kswapd0
    113 root 18 0 0 0 0 S 0.0 0.0 0:00.00 kseriod
    122 root 5 -10 0 0 0 S 0.0 0.0 0:02.17 xfslogd/0
    123 root 6 -10 0 0 0 S 0.0 0.0 0:00.00 xfsdatad/0
    124 root 15 0 0 0 0 S 0.0 0.0 0:00.03 xfsbufd
    125 root 15 0 0 0 0 D 0.0 0.0 0:00.42 xfssyncd
    q diabo é isso de "atac" e "ssh-scan"???? alguém sabe alguma coisa a respeito????

    valeu!

  2. #2

    Padrão o que é isso???

    essa maquina ai eh domestica? vc tem algum servidor de cs rodando nela?
    agora esse ssh-scan.... essa praga ai eh um programinha q fica vasculhando a rede a procura de servers com ssh, ai ele tenta adivinhar a senha por força bruta

  3. #3
    sady
    Visitante

    Padrão o que é isso???

    então... essa máquina é o servidor da minha empresa... mais precisamente servidor de internet (Gateway)... e pelo jeito conseguiu o q queria... descobriu a senha de um usuario e executou umas merdas...

    mas eu matei o processo e troquei a senha do usuario...

    o q posso fazer a respeito???

  4. #4

    Padrão o que é isso???

    vixi, tem tanta coisa pra ser vista, nao posso afirmar com certeza, mas o atac pelo q vi eh um mod do counter striker, o ssh-scan pode ser sido alguem ai da tua rede mesmo q rodou, mas akele pscan2...... esse ta mto suspeito,
    faça um backup dos logs em um local separado (o ideial seria fazer uma img do disco inteira) e va analisando o xferlog,auth,secure,etc...

    e tb passe o chkrootkit pra ver se nao tem nenhuma porcaria

  5. #5
    sady
    Visitante

    Padrão o que é isso???

    eu copiei os arquivos de log pra uma pasta separada...

    agora... esse "chkrootkit" não sei o q é... e nem sei como rodar isso...

  6. #6

    Padrão o que é isso???

    deve te um artigo aki no site, se nao tiver no minimo tem a noticia com o site oficial dele (esse eu tenho certeza)

  7. #7
    sady
    Visitante

    Padrão o que é isso???

    valeu cara.... obrigado!