[Ubuntu-BR] Proteção contra rootkits SVH4 e SV H5
Prezados, bom dia! Um servidor de internet de minha empresa, com Ubuntu Gutsy (7.10), foi infectado com os rootkits SVH4 e SVH5. Este servidor disponibiliza alguns serviços para a internet, como http e https (apache), ssh, dns (bind), ftp (proftpd), além de dar forward em algumas portas para servidores internos (bancos de dados, aplicações web). Vou formatar e reinstalar do zero, já com o Ubuntu Server 8.04 amd64 LTS. Contudo, o que preciso fazer para me proteger contra estes rootkits específicos? Como eles foram instalados em meu servidor? Sei que a pergunta anterior é vaga, pois não mostrei logs, nem nada. O que quero saber é: que tipo de vulnerabilidades estes dois rootkits exploram comumente? Sinto que se eu apenas reinstalar, sem saber o que devo deixar fechado, em pouco tempo estes ou outros rootkits devem ser instalados novamente... Como proteger meus servidores públicos (internet)? Que sites de segurança linux/net vocês me indicam? Algum site específico de segurança para o Ubuntu? Obrigado e abraços! FILIPE FEDALTO -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Re: [Ubuntu-BR] Proteção contra rootkits SVH4 e SV H5
Ops, me equivoquei... os rootkits que infectaram meu servidor são, na verdade, SHV4 e SHV5. Mas as perguntas continuam valendo... Abraços, FILIPE FEDALTO 2009/4/23 Fedalto, Filipe ffeda...@eaibrasil.com.br Prezados, bom dia! Um servidor de internet de minha empresa, com Ubuntu Gutsy (7.10), foi infectado com os rootkits SVH4 e SVH5. Este servidor disponibiliza alguns serviços para a internet, como http e https (apache), ssh, dns (bind), ftp (proftpd), além de dar forward em algumas portas para servidores internos (bancos de dados, aplicações web). Vou formatar e reinstalar do zero, já com o Ubuntu Server 8.04 amd64 LTS. Contudo, o que preciso fazer para me proteger contra estes rootkits específicos? Como eles foram instalados em meu servidor? Sei que a pergunta anterior é vaga, pois não mostrei logs, nem nada. O que quero saber é: que tipo de vulnerabilidades estes dois rootkits exploram comumente? Sinto que se eu apenas reinstalar, sem saber o que devo deixar fechado, em pouco tempo estes ou outros rootkits devem ser instalados novamente... Como proteger meus servidores públicos (internet)? Que sites de segurança linux/net vocês me indicam? Algum site específico de segurança para o Ubuntu? Obrigado e abraços! FILIPE FEDALTO -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Re: [Ubuntu-BR] Proteção contra rootkits SVH4 e SV H5
Procure instalar o ClamAV e use o UFW com o GUFW ou sem. http://ubuntuforums.org/showthread.php?t=510812 https://help.ubuntu.com/community/Security http://www.psychocats.net/ubuntu/security http://www.ubuntu.com/usn Tem esse aqui tambem que é muito bom - http://www.ubuntusecurity.co.za/ Abraços.. -- Lucas Saliés Brum Linux User #456043 http://sistematico.org Fedalto, Filipe escreveu: Ops, me equivoquei... os rootkits que infectaram meu servidor são, na verdade, SHV4 e SHV5. Mas as perguntas continuam valendo... -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br