[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: MALWARE "Virus" no Ubuntu [Alerta]

Depende é claro do tipo de usuário. LMDE é perfeito para usar sem inesperados empecilhos por conta dos formatos privativos predominantes. O mais indicado é Trisquel ou gNewSense, mas o gNewSense é uma porção mais trabalhoso que o próprio Debian.

On 14-11-2014 17:05, Flavio Menezes dos Reis wrote:
Por estas e por outras que prefiro o Debian.

Em 14 de novembro de 2014 14:25, Rodrigo Cunha <rodrigo.root.rj@gmail.com> escreveu:
Srs, utilizo o ubuntu e nesta semana me deparei com um problema.
Minha rede estava falhando e resolvi vas culhar o meu S/O.
Descobri os arquivos abaixo instalados no meu PC local :

/etc/init.d/DbSecuritySpt
/etc/init.d/selinux
/etc/init.d/.SSH2
/etc/init.d/.SSH2

Eles geravam um daemon chamado sfewfesfs e alguns subprogramas chamados de sshdd14xxx e se conectavam com ips na china :

netname:     CHINANET-ZJ-HU
country:       CN
descr:          CHINANET-ZJ Huzhou node network

Ainda bem que descobri a tempo, só achei estranho, meu primeiro virus de linux e, pelo que eu me lembre não instalei nada no S/O nestes ultimos dias.
 
Bom, para quem é leigo em segurança, como eu, e quer saber como descobri essas praguinhas, eu sem nada conectado eo meu host, executei netstat -putona, vi os programas que estavam com nomes do tipo :
tcp        0      0 192.168.0.3:45200      ipremoto:7668       ESTABELECIDA 1592/.sshhdd14 keepalive (55,40/0/0)
tcp        0      0 192.168.0.3:35433      ipremoto:36665     ESTABELECIDA 18537/sfewfesfs  keepalive (50,02/0/0)
tcp        0      0 192.168.0.3:58840      ipremoto:7168       ESTABELECIDA 13987/.sshdd14 keepalive (50,79/0/0)
No meu caso, para encontra-los, nao usei a TI, mas sim a lógica, vi os ultimos programas instalados no meu init 2 (meu runlevel)
e estavam lá, os arquivos listados como instalados ontem:
/etc/init.d/DbSecuritySpt
/etc/init.d/selinux
/etc/init.d/.SSH2
/etc/init.d/.SSH2
Emfim :
Não via,até hoje, a necessidade de utilizar um antivírus no meu linux...porém agora....
Caso queiram procurar algo, busquem no google por /etc/init.d/dbsecurityspt e encontrarão algumas referencias.
Em todo caso fiquem alertas, principalmente se seu S/O estiver na DMZ (meu caso).
Achei o caso desse cara interessante:
https://forums.plex.tv/index.php/topic/103175-rootkit-on-my-readynas-516-check-your-boxes/

--
Atenciosamente,
Rodrigo da Silva Cunha




--
Flávio Menezes dos Reis
Procuradoria-Geral do Estado do RS
Assessoria de Informática do Gabinete
Técnico Superior de Informática
(51) 3288-1763

Reply to: