Se não estava atualizado, pode ter sido uma exploração de vulnerabilidade do bash (shell shock). Nos meus logs eu vejo que isso virou lugar comum. Por qualquer serviço aberto. Http, https, mail, etc.
Helio Loureiro -= sent by Android =- On Nov 15, 2014 4:22 PM, "Thiago Zoroastro" <thiago.zoroas...@bol.com.br> wrote: > Adicionar o usuário para usar sudo no /etc/sudoers > root ALL=(ALL:ALL) ALL > > deixo embaixo do de cima: > usuario ALL=(ALL:ALL) ALL > > E uso sudo no Debian e Debian-baseds. Que é desabilitado por padrão. > > Tenho feito isso sempre desde que migrei do Ubuntu. > > On 15-11-2014 10:31, henrique wrote: > > A minha **opinião** eh que não importa a distribuição, se você alterar o > "padrão" dela, vai dar alguma coisa errada. > Veja: > > - Ubuntu deixa a senha de root em branco por padrão, e deixa o acesso de > root habilitado no ssh por padrão. E isso é seguro. Idiota e non-sense ao > meu ver, mas seguro. > > - Debian pede para você setar a senha de root e deixa o acesso de root > desabilitado por padrão. E isso é seguro. > > O que não é seguro é o usuário modificar o padrão sem pensar em > consequências. Por ex, habilitar a senha de root no ubuntu, ou habilitar o > login de root via ssh no debian, deixa ambos os sistemas mto inseguros, > caso a senha de root seja fraca. E esta combinação de fatores (senha fraca > no root e acesso de root via ssh ) eh perigosa em qualquer distribuição, em > qualquer sistema, seja gnewsense, trisquel, *bsd, beos, tra-la-la-systems. > > Os sistemas tem um bom nível de segurança por padrão - com as devidas > limitações causadas pelo nosso fator humano. As catástrofes são geral e > costumeiramente causadas pelo usuário aspirante a administrador, em > qualquer distro, em qualquer sistema, em qualquer cenário. > > Abraços > > Henry > > ------------------------------ > *De:* Thiago Zoroastro <thiago.zoroas...@bol.com.br> > <thiago.zoroas...@bol.com.br> > *Para:* debian-user-portuguese@lists.debian.org > *Enviadas:* Sexta-feira, 14 de Novembro de 2014 19:20 > *Assunto:* Re: MALWARE "Virus" no Ubuntu [Alerta] > > Depende é claro do tipo de usuário. LMDE é perfeito para usar sem > inesperados empecilhos por conta dos formatos privativos predominantes. O > mais indicado é Trisquel ou gNewSense, mas o gNewSense é uma porção mais > trabalhoso que o próprio Debian. > > > > On 14-11-2014 17:05, Flavio Menezes dos Reis wrote: > > Por estas e por outras que prefiro o Debian. > > Em 14 de novembro de 2014 14:25, Rodrigo Cunha <rodrigo.root...@gmail.com> > escreveu: > > Srs, utilizo o ubuntu e nesta semana me deparei com um problema. > Minha rede estava falhando e resolvi vas culhar o meu S/O. > Descobri os arquivos abaixo instalados no meu PC local : > > /etc/init.d/DbSecuritySpt > /etc/init.d/selinux > /etc/init.d/.SSH2 > /etc/init.d/.SSH2 > > Eles geravam um daemon chamado sfewfesfs e alguns subprogramas chamados > de sshdd14xxx e se conectavam com ips na china : > > netname: CHINANET-ZJ-HU > country: CN > descr: CHINANET-ZJ Huzhou node network > > Ainda bem que descobri a tempo, só achei estranho, meu primeiro virus de > linux e, pelo que eu me lembre não instalei nada no S/O nestes ultimos dias. > > Bom, para quem é leigo em segurança, como eu, e quer saber como descobri > essas praguinhas, eu sem nada conectado eo meu host, executei netstat > -putona, vi os programas que estavam com nomes do tipo : > tcp 0 0 192.168.0.3:45200 ipremoto:7668 > ESTABELECIDA 1592/.sshhdd14 keepalive (55,40/0/0) > tcp 0 0 192.168.0.3:35433 ipremoto:36665 > ESTABELECIDA 18537/sfewfesfs keepalive (50,02/0/0) > tcp 0 0 192.168.0.3:58840 ipremoto:7168 > ESTABELECIDA 13987/.sshdd14 keepalive (50,79/0/0) > No meu caso, para encontra-los, nao usei a TI, mas sim a lógica, vi os > ultimos programas instalados no meu init 2 (meu runlevel) > e estavam lá, os arquivos listados como instalados ontem: > /etc/init.d/DbSecuritySpt > /etc/init.d/selinux > /etc/init.d/.SSH2 > /etc/init.d/.SSH2 > Emfim : > Não via,até hoje, a necessidade de utilizar um antivírus no meu > linux...porém agora.... > Caso queiram procurar algo, busquem no google por > /etc/init.d/dbsecurityspt e encontrarão algumas referencias. > Em todo caso fiquem alertas, principalmente se seu S/O estiver na DMZ > (meu caso). > Achei o caso desse cara interessante: > > https://forums.plex.tv/index.php/topic/103175-rootkit-on-my-readynas-516-check-your-boxes/ > > -- > Atenciosamente, > Rodrigo da Silva Cunha > > > > > -- > Flávio Menezes dos Reis > Procuradoria-Geral do Estado do RS > Assessoria de Informática do Gabinete > Técnico Superior de Informática > (51) 3288-1763 > > > > >
