Re: MALWARE "Virus" no Ubuntu [Alerta]

A minha **opinião** eh que não importa a distribuição, se você alterar o "padrão" dela, vai dar alguma coisa errada.

Veja:

- Ubuntu deixa a senha de root em branco por padrão, e deixa o acesso de root habilitado no ssh por padrão. E isso é seguro. Idiota e non-sense ao meu ver, mas seguro.

- Debian pede para você setar a senha de root e deixa o acesso de root desabilitado por padrão. E isso é seguro.

O que não é seguro é o usuário modificar o padrão sem pensar em consequências. Por ex, habilitar a senha de root no ubuntu, ou habilitar o login de root via ssh no debian, deixa ambos os sistemas mto inseguros, caso a senha de root seja fraca. E esta combinação de fatores (senha fraca no root e acesso de root via ssh ) eh perigosa em qualquer distribuição, em qualquer sistema, seja gnewsense, trisquel, *bsd, beos, tra-la-la-systems.

Os sistemas tem um bom nível de segurança por padrão - com as devidas limitações causadas pelo nosso fator humano. As catástrofes são geral e costumeiramente causadas pelo usuário aspirante a administrador, em qualquer distro, em qualquer sistema, em qualquer cenário.

Abraços

Henry

De: Thiago Zoroastro <thiago.zoroastro@bol.com.br>
Para: debian-user-portuguese@lists.debian.org
Enviadas: Sexta-feira, 14 de Novembro de 2014 19:20
Assunto: Re: MALWARE "Virus" no Ubuntu [Alerta]

Depende é claro do tipo de usuário. LMDE é perfeito para usar sem inesperados empecilhos por conta dos formatos privativos predominantes. O mais indicado é Trisquel ou gNewSense, mas o gNewSense é uma porção mais trabalhoso que o próprio Debian.

On 14-11-2014 17:05, Flavio Menezes dos Reis wrote:

Por estas e por outras que prefiro o Debian.

Em 14 de novembro de 2014 14:25, Rodrigo Cunha <rodrigo.root.rj@gmail.com> escreveu:

Srs, utilizo o ubuntu e nesta semana me deparei com um problema.

Minha rede estava falhando e resolvi vas culhar o meu S/O.

Descobri os arquivos abaixo instalados no meu PC local :

/etc/init.d/DbSecuritySpt
/etc/init.d/selinux
/etc/init.d/.SSH2
/etc/init.d/.SSH2

Eles geravam um daemon chamado sfewfesfs e alguns subprogramas chamados de sshdd14xxx e se conectavam com ips na china :

netname:     CHINANET-ZJ-HU
country:       CN
descr:          CHINANET-ZJ Huzhou node network

Ainda bem que descobri a tempo, só achei estranho, meu primeiro virus de linux e, pelo que eu me lembre não instalei nada no S/O nestes ultimos dias.

Bom, para quem é leigo em segurança, como eu, e quer saber como descobri essas praguinhas, eu sem nada conectado eo meu host, executei netstat -putona, vi os programas que estavam com nomes do tipo :
tcp        0      0 192.168.0.3:45200      ipremoto:7668       ESTABELECIDA 1592/.sshhdd14 keepalive (55,40/0/0)
tcp        0      0 192.168.0.3:35433      ipremoto:36665     ESTABELECIDA 18537/sfewfesfs keepalive (50,02/0/0)
tcp        0      0 192.168.0.3:58840      ipremoto:7168       ESTABELECIDA 13987/.sshdd14 keepalive (50,79/0/0)

No meu caso, para encontra-los, nao usei a TI, mas sim a lógica, vi os ultimos programas instalados no meu init 2 (meu runlevel)

e estavam lá, os arquivos listados como instalados ontem:
/etc/init.d/DbSecuritySpt
/etc/init.d/selinux
/etc/init.d/.SSH2
/etc/init.d/.SSH2

Emfim :

Não via,até hoje, a necessidade de utilizar um antivírus no meu linux...porém agora....

Caso queiram procurar algo, busquem no google por /etc/init.d/dbsecurityspt e encontrarão algumas referencias.

Em todo caso fiquem alertas, principalmente se seu S/O estiver na DMZ (meu caso).
Achei o caso desse cara interessante:
https://forums.plex.tv/index.php/topic/103175-rootkit-on-my-readynas-516-check-your-boxes/

--

Atenciosamente,
Rodrigo da Silva Cunha

Flávio Menezes dos Reis

Procuradoria-Geral do Estado do RS

Assessoria de Informática do Gabinete

Técnico Superior de Informática

(51) 3288-1763