Em 15/2/2010 12:00, Marcelo da Silva escreveu: > Ola pessoal.. agradeco a todos que deram dicas que foram de grande > importancia. > > o problema era meu webmail, tempos atras compramos um skin da nutsmail e > ele é baseado no squirrel 1.4.8; > esta versao ta com problema... > retirei o webmail e acabou o problema, vou adquirir uma versao atualizada > do webmail. > > Abracao a todos.. > > > ]On Sat, 13 Feb 2010 13:23:48 -0200, Cleyton Agapito <cragap...@gmail.com> > wrote: > >> Em 13 de fevereiro de 2010 12:30, Marcelo da Silva >> <marc...@mginformatica.com> escreveu: >> >>> Mas olha so >>> @400000004b75d8bd1296f304 tcpserver: pid 46621 from 127.0.0.1 >>> <<<-------- ta vindo do meu propio servidor.. >>> @400000004b75d8bd129c2edc tcpserver: ok 46621 localhost:127.0.0.1:587 >>> :127.0.0.1::61632 >>> >>> >> Antes de partir para soluções mais drásticas: >> >> - Dê uma olhada se não tem um script malvado em /var/cron/tabs e >> /var/at/jobs, se você já procurou no ps e não tem nenhum processo >> estranho lá é provável que execute de tempos em tempos de algum lugar, >> esses são os mais prováveis. >> >> - Dê uma busca o diretório dos usuários com "find /usr/home -perm -111 >> -type f", já que via de regra o script malvado tem que ter permissão >> de execução (supondo que o sistema não está comprometido, senão pode >> estar em qualquer lugar). >> >> - Derrepente uma é gerar um arquivo com a lista dos executáveis >> "normais" do sistema em um "limpo" e no teu e depois fazer um diff dos >> dois. >> >> - Verifique se tem alguém logado em períodos próximos à ocorrência com >> last, caso o carinha esteja de malandragem escondendo o script. >> >> - Verifique cuidadosamente todos os logs atrás de algo mais >> > significativo. > >> - Caso ache que sua senha de root tenha sido comprometida tente apagar >> os fontes, baixar, compilar e refazer a userland (make buildworld e >> make installworld), isso vai remover alguma possível infeccção na >> base. >> >> Espero que alguma dessas ajude. >> > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >
É, software desatualizado ou "não-patcheado" são muitas vezes causas de falhas graves. Por aqui foi o squid que ficou sendo usado como proxy anônimo e spammer... ..mas Como descobriu que era do webmail?? att ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
