Pessoal, preciso de ajuda.
Acredito que o servidor de um cliente foi invadido.
Esta maquina esta rodando REDHAT 6.1, com Bind 8.2.3-REL, Proftpd 1.2.0pre9,
apache.
Estou acreditando que foi atraves de alguma vulnerabilidade do Bind que foi
feita esta invasao, mas nao tenho certeza.
A maquina do cliente estava muito lenta, quando dei um ps -aux , mostrou-me
diversos processos <defunct> alpd .
Procurei por este alpd e encontrei em /usr/src/bin este arquivo e outros.
Hoje apareceu mais alguns como wu.c . Vendo o fonte do alpd veriiquei que
era algum tipo de Exploit .
Procurei nos Logs e nao encontrei nenhuma informacao da invasao. claro que o
invasor pode ter apagado.
O que que eu faco . O que atualizo. Aonde procuro por esta informacao?
estou desesperado pois nao poderia parar esta maquina para instalar do zero.
A melhor opcao e� mesmo instalar do zero ??
Tekko
Assinantes em 12/09/2001: 2362
Mensagens recebidas desde 07/01/1999: 131960
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
