<div>Vê tbem,</div><div>Chrootkit</div><div><br></div><div><a href="http://www.vivaolinux.com.br/artigo/Security-Hacks-Linux-e-BSD?pagina=5">http://www.vivaolinux.com.br/artigo/Security-Hacks-Linux-e-BSD?pagina=5</a> <br clear="all">
<br><br><div><span style="font-size:13.3px;font-family:Verdana,Arial,Helvetica,sans-serif"><p style="margin-top:0px;margin-right:0px;margin-bottom:8px;margin-left:0px;text-align:left"><strong><span style="font-family:verdana,geneva">Maurício Magalhães.</span></strong></p>
</span></div><br>
<br><br><div name="sig_d41d8cd98f" style="margin-top:0pt;margin-right:0pt;margin-bottom:0pt;margin-left:0pt"></div><div class="gmail_quote">Em 2 de janeiro de 2012 15:20, Mauricio Magalhães <span dir="ltr"><<a href="mailto:mauriciommagalhaes@gmail.com">mauriciommagalhaes@gmail.com</a>></span> escreveu:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Olá,<div><br></div><div>1 - Um vez invadido ele pode ter posto algum backdoors, faça tudo que pediram anteriormente, mas verifique as portas que necessitam ficar abertas no seu servidor e verifique se tem alguma porta desconhecida para você, para verificar as portas </div>
<div>Caso haja alguma porta desconhecida, faça uma busca no google e verifique se corresponde ao seu serviço.</div><div><br></div><div><div>digite na console linux: </div><div><br></div><div>#netstat -tuanp | grep OUÇA (console em portugues)</div>
<div>#netstat -tuanp | grep LISTEN (console em inglês)</div></div><div><br></div><div>2 - Aconselho, se não tiver feito, mudar a senha para algo bem forte, com caráteres especiais como ~^$% e bem longo com no mínimo 12 caracteres, e verifique se ainda existe invasão, </div>
<div><br></div><div>3 - verifique tbem, se existe algum script reiniciando o asterisk com outras configurações, verifique isso no contrab</div><div><br></div><div>/etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/ /etc/cron.monthly/ /etc/crontab /etc/cron.weekly/</div>
<div><br></div><div>4 - Verifique o /etc/rc.local e verifique se tem um script desconhecido, geralmente ele está sem nenhum script por padrão.</div><div><br></div><div>Vai ter que fazer um pente-fino no seu server e sair eliminando possibilidades...</div>
<div><br></div><div>Boa Sorte, qualquer duvida é só postar :)</div><div><br><div><span style="font-size:13.3px;font-family:Verdana,Arial,Helvetica,sans-serif"><p style="margin-top:0px;margin-right:0px;margin-bottom:8px;margin-left:0px;text-align:left">
<strong><span style="font-family:verdana,geneva">Maurício Magalhães.</span></strong></p></span></div><br>
<br><br><div class="gmail_quote">Em 2 de janeiro de 2012 13:21, Fernando Meira Lins - Diretor Comercial <span dir="ltr"><<a href="mailto:meiralins@midiabyte.com.br" target="_blank">meiralins@midiabyte.com.br</a>></span> escreveu:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5">
<div lang="PT-BR" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="color:#1f497d">Renato, veja se não está com as senhas padrão do admin do Elastix e/ou freepbx. É muito comum invadirem via HTTP e fazerem isso.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">De imediato desative o acesso http dando um “httpd stop” lá no /init.d<u></u><u></u></span></p><p class="MsoNormal">
<span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">Depois altere as senhas padrão.<u></u><u></u></span></p><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d">Caso vc não precise ficar acessando a interface WEB, mantenha desativada e só ative mediante necessidade.<u></u><u></u></span></p><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d">Boa Sorte!<u></u><u></u></span></p><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><div><p class="MsoNormal"><b><i><span style="font-size:12.0pt;color:#943634">Fernando de Meira Lins</span></i></b><b><span style="color:#943634"><br>
<br></span></b><b><span style="color:#1f497d"><u></u><u></u></span></b></p></div><div><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><div><div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">De:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> <a href="mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-bounces@listas.asteriskbrasil.org</a> [mailto:<a href="mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-bounces@listas.asteriskbrasil.org</a>] <b>Em nome de </b>Renato Soldi<br>
<b>Enviada em:</b> segunda-feira, 2 de janeiro de 2012 11:28<br><b>Para:</b> <a href="mailto:asteriskbrasil@listas.asteriskbrasil.org" target="_blank">asteriskbrasil@listas.asteriskbrasil.org</a><br><b>Assunto:</b> [AsteriskBrasil] Servidor PABX<u></u><u></u></span></p>
</div></div><p class="MsoNormal"><u></u> <u></u></p></div><p class="MsoNormal">Senhores, estou enfrentando uma dificuldade e preciso de ajuda!<u></u><u></u></p><div><div><p class="MsoNormal">Tenho um servidor PABX para a empresa que eu trabalho, e tem alguém invadindo a minha central e configurando para ligações internacionais e apagando as minhas configurações, não me estressa muito isso pois tenho ligações internacionais bloqueadas junto a minha operadora, o chato é ter que ficar reconfigurando meu PABX, já troquei senhas e afins, mas esse infeliz continua acessando e avacalhando, já olhei todos os logs e /var/log/asterisk e não achei nada! Tem algum lugar que eu possa olhar e ver por onde esse cidadão está entrando no meu PABX e ver o IP desse infeliz?<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Desde já agradeço a atenção!<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><span style="color:#1f497d">Att.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d">---</span><span style="font-size:12.0pt;color:#1f497d"><u></u><u></u></span></p><p class="MsoNormal"><b><span style="color:red">Renato Soldi<u></u><u></u></span></b></p><p class="MsoNormal">
<span style="color:#1010c6">Suporte Técnico<u></u><u></u></span></p><p class="MsoNormal"><span style="color:#1010c6">LocalNet Telecon LTDA<u></u><u></u></span></p><p class="MsoNormal"><span style="color:#1010c6">MSN: <u><a href="mailto:suporte@localnet.com.br" target="_blank"><span style="color:#216088">suporte@localnet.com.br</span></a></u><u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:#1010c6">Fone: <a href="tel:54%203055%204921" value="+555430554921" target="_blank">54 3055 4921</a><u></u><u></u></span></p><p class="MsoNormal"><span style="color:#1010c6">Plantão: <a href="tel:54%209601%205324" value="+555496015324" target="_blank">54 9601 5324</a><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Verdana","sans-serif";color:#1010c6">Internet Banda Larga - Hospedagem de Sites - <a href="http://www.localnet.com.br/" target="_blank"><span style="color:#1010c6">www.localnet.com.br</span></a><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Verdana","sans-serif";color:#1010c6">Operadora VOIP - <a href="http://www.localnet.com.br/voip" target="_blank"><span style="color:#1010c6">www.univoip.com.br</span></a><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Verdana","sans-serif";color:#1010c6">Registro de Domínios Mundias - <a href="http://www.registroglobal.com.br/" target="_blank"><span style="color:#1010c6">www.registroglobal.com.br</span></a><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:Webdings;color:green">P</span><span style="font-size:10.0pt;font-family:"Verdana","sans-serif";color:green"> </span><span style="color:green">Antes de imprimir, pense em sua responsabilidade e seu compromisso com o meio ambiente.</span><span style="color:#1f497d"><u></u><u></u></span></p>
<p class="MsoNormal"><b><span style="font-size:14.0pt;color:red"># Tenha um Feliz Natal e um Ano Novo repleto de felicidades!<u></u><u></u></span></b></p><p class="MsoNormal"><u></u> <u></u></p></div></div></div></div><br>
</div></div><div class="im">
_______________________________________________<br>
KHOMP ::: External Series Experience :::<br>
Um novo conceito para o mercado de aplicações que vai<br>
fazer você pensar fora da caixa. Aguarde este lançamento<br>
_______________________________________________<br>
DIGIVOICE: Lider no mercado de placas para Asterisk<br>
Único fabricante com Centro de Treinamento especializado.<br>
LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.<br>
<a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou <a href="tel:%2811%293016-5200" value="+551130165200" target="_blank">(11)3016-5200</a>.<br>
________<br>
<br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></div>
</blockquote>
</div>
<br></div>
</blockquote></div><br></div>