<20080726131354.GA2813@xxxxxxxxxxxxxxxxxx> <488B25A4.2030200@xxxxxxxxxxxxx>
Message-ID: <d650ab292a7c70adee9d4d06ed556d65@xxxxxxxxxxxx>
X-Sender: m.danieli@xxxxxxxxxxxx
Received: from ip-69-33-102-66.sea.megapath.net [69.33.102.66] with HTTP/1.1
(POST); Sat, 26 Jul 2008 16:16:52 +0200
User-Agent: RoundCube Webmail/0.1-rc1
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
On Sat, 26 Jul 2008 15:24:52 +0200, Francesco Biacca <cbiacca@xxxxxxxxx>
wrote:
>>
>> Intanto vedi di cavarlo via, che da quelle non troppe informazioni che
>> io ho visto su google, barbut non e' tuo amico, a meno che tu non sia
>> amico di virus, troyan e simili animali.
"This is a IRC based distributed denial of service client. It connects
to the server specified below and accepts commands via the channel
specified."
> eh. ma come lo elimino? rasare la macchina non è proprio possibile :(,
tipo lo cancelli ?
meglio, lo chmod 000 e ci dai un occhio dentro, cosi vedi cos'è (piu o
meno)
>> Poi sarebbe da capire come ci e' arrivato e come fare ad evitare che
>> torni...
>
> Il problema è proprio la carenza di informazioni che si trovano in rete.
????????
about 172,000 for barbut. (0.26 seconds)
> Ho fatto degli scan sulla macchina in questione, tramite rkhunter e
> chkrootkit ma onn hanno trovato nulla.
Ah beh allora poi dormire tranquillo ;)
Bon, se è solo un server irc allora puoi cercare le porte in ascolto
nmap, tcpdump e netstat sono tuoi amici: anche ps
> Ho letto che potrebbe essere riconducibile ad installazioni non patchate
> di awstats, ma non ho installato quel pacchetto.
>
> Idee in merito?
Si, ma bisognerebbe sapere cosa hai aperto...apache e?
Se si, greppa i log
Dove sta quel eseguibile? in /tmp ?
Ziao
Andy
|