Re: MALWARE "Virus" no Ubuntu [Alerta]
Como poderia eu monitorar essas portas?
$ top
e
$ ps aux
Quais processos não deveriam estar ali?
Que outras formas de monitorar vulnerabilidades do sistema podem ser feitas?
Vlw
On 14-11-2014 17:55, P. J. wrote:
> Podem existir muitas variáveis nesse contexto, como o local aonde vc
> estava acessando, se sua máquina estava atualizada... quais aplicações
> vc usa... se usa de muita fontes não oficiais... ou seja "n" coisas...
> mas fica a dica de tempos em tempos dar uma monitorada na portas
>
> Em 14/11/14, Flavio Menezes dos Reis<flavio-reis@pge.rs.gov.br> escreveu:
>> Por estas e por outras que prefiro o Debian.
>>
>> Em 14 de novembro de 2014 14:25, Rodrigo Cunha <rodrigo.root.rj@gmail.com>
>> escreveu:
>>
>>> Srs, utilizo o ubuntu e nesta semana me deparei com um problema.
>>> Minha rede estava falhando e resolvi vas culhar o meu S/O.
>>> Descobri os arquivos abaixo instalados no meu PC local :
>>>
>>> /etc/init.d/DbSecuritySpt
>>> /etc/init.d/selinux
>>> /etc/init.d/.SSH2
>>> /etc/init.d/.SSH2
>>>
>>> Eles geravam um daemon chamado sfewfesfs e alguns subprogramas chamados
>>> de
>>> sshdd14xxx e se conectavam com ips na china :
>>>
>>> netname: CHINANET-ZJ-HU
>>> country: CN
>>> descr: CHINANET-ZJ Huzhou node network
>>>
>>> Ainda bem que descobri a tempo, só achei estranho, meu primeiro virus de
>>> linux e, pelo que eu me lembre não instalei nada no S/O nestes ultimos
>>> dias.
>>>
>>> Bom, para quem é leigo em segurança, como eu, e quer saber como descobri
>>> essas praguinhas, eu sem nada conectado eo meu host, executei netstat
>>> -putona, vi os programas que estavam com nomes do tipo :
>>> tcp 0 0 192.168.0.3:45200 ipremoto:7668
>>> ESTABELECIDA 1592/.sshhdd14 keepalive (55,40/0/0)
>>> tcp 0 0 192.168.0.3:35433 ipremoto:36665
>>> ESTABELECIDA 18537/sfewfesfs keepalive (50,02/0/0)
>>> tcp 0 0 192.168.0.3:58840 ipremoto:7168
>>> ESTABELECIDA 13987/.sshdd14 keepalive (50,79/0/0)
>>> No meu caso, para encontra-los, nao usei a TI, mas sim a lógica, vi os
>>> ultimos programas instalados no meu init 2 (meu runlevel)
>>> e estavam lá, os arquivos listados como instalados ontem:
>>> /etc/init.d/DbSecuritySpt
>>> /etc/init.d/selinux
>>> /etc/init.d/.SSH2
>>> /etc/init.d/.SSH2
>>> Emfim :
>>> Não via,até hoje, a necessidade de utilizar um antivírus no meu
>>> linux...porém agora....
>>> Caso queiram procurar algo, busquem no google por
>>> /etc/init.d/dbsecurityspt e encontrarão algumas referencias.
>>> Em todo caso fiquem alertas, principalmente se seu S/O estiver na DMZ
>>> (meu
>>> caso).
>>> Achei o caso desse cara interessante:
>>>
>>> https://forums.plex.tv/index.php/topic/103175-rootkit-on-my-readynas-516-check-your-boxes/
>>>
>>> --
>>> Atenciosamente,
>>> Rodrigo da Silva Cunha
>>>
>>>
>>
>> --
>> Flávio Menezes dos Reis
>> Procuradoria-Geral do Estado do RS
>> Assessoria de Informática do Gabinete
>> Técnico Superior de Informática
>> (51) 3288-1763
>>
>
Reply to: