Thiego,
>Nesta sexta passada aconteceu uma coisa muito estranha com o meu linux (SuSE 8.0),
>ele serve de firewall aqui na empresa ...
>
>notei que todo os arquivos e diretorios do linux tinham sido alterados para modo
>leitura e nem mesmo o usuario root podia altera-los.
>Vai a pergunta no ar... O que pode ter acontecido ??? Sera que houve alguma invasao
>???
>
Sim, BUHAHAHAHAHAHAHHAHAHAHAH !
Oops, estou rindo mas eu tamb�m fui v�tima. Aparentemente a solu��o �
formatar e reinstalar toda a coisa. Voc� podia procurar no hist�rico da
lista, mas estou me sentindo bom hoje :-) e vou mandar uma mensagem da
minha cole��o, cortesia do Rog�rio Ara�jo, que agora passa os dias
alegremente chicoteando estagi�rios.
Em tempo, tem que procurar TUDO que foi modificado, o que n�o � simples.
Se der pra reformatar e reinstalar, � mais seguro.
Rafael
-------8<-------8<-------8<-------8<-------8<-------8<-------8<-------8<-------8<-------8<-------8<-------8<
oi pessoal acredito que a solu��o do caso saiu e fiz basicamente o seguinte
:
1 - isolar a m�quina da net
2 - verificar todos os arquivos de configura��o que s�o inicializados :
rc.local, rc.sysinit, inittab, profile, etc
neste caso o cara l� tinha colocado uma linha no inittab que levantava
um programa chamado afb (ou hfb) que estava no /usr/bin, no rc.sysinit
tamb�m estava
3 - pegar o cd original e instalar novamente o chattr (pacote e2fsprogs)
4 - usando o lsattr e o chattr varrer todos os diretorios principais (/bin,
/sbin, /usr/sbin, /usr/local/bin, /etc) procurando por arquivos com o
atributo ia e modifica-los para normal
5 - todos os programas encontrados com este atributo devem ser reinstalados
ou excluidos.
6 - fechar as portas do servidor ao m�ximo
7 - atualizar os principais pacotes para vers�es mais novas (de prefer�ncia
uma passada primeiro em www.underlinux.com.br e www.linuxsecurity.com), se
poss�vel n�o utilize o rpm, mas baixem os fontes e compilem.
8 - instalar pacoes de seguran�a como o snort e um bom firewall , de
prefer�ncia novo.
Depois destes passos o problema "PARECE" ter sido resolvido , a m�quina est�
em an�lise.
Agrade�o a ajuda.
Assinantes em 04/10/2002: 2262
Mensagens recebidas desde 07/01/1999: 185532
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
