Srs, utilizo o ubuntu e nesta semana me deparei com um problema. Minha rede estava falhando e resolvi vas culhar o meu S/O. Descobri os arquivos abaixo instalados no meu PC local :
/etc/init.d/DbSecuritySpt /etc/init.d/selinux /etc/init.d/.SSH2 /etc/init.d/.SSH2 Eles geravam um daemon chamado sfewfesfs e alguns subprogramas chamados de sshdd14xxx e se conectavam com ips na china : netname: CHINANET-ZJ-HU country: CN descr: CHINANET-ZJ Huzhou node network Ainda bem que descobri a tempo, só achei estranho, meu primeiro virus de linux e, pelo que eu me lembre não instalei nada no S/O nestes ultimos dias. Bom, para quem é leigo em segurança, como eu, e quer saber como descobri essas praguinhas, eu sem nada conectado eo meu host, executei netstat -putona, vi os programas que estavam com nomes do tipo : tcp 0 0 192.168.0.3:45200 ipremoto:7668 ESTABELECIDA 1592/.sshhdd14 keepalive (55,40/0/0) tcp 0 0 192.168.0.3:35433 ipremoto:36665 ESTABELECIDA 18537/sfewfesfs keepalive (50,02/0/0) tcp 0 0 192.168.0.3:58840 ipremoto:7168 ESTABELECIDA 13987/.sshdd14 keepalive (50,79/0/0) No meu caso, para encontra-los, nao usei a TI, mas sim a lógica, vi os ultimos programas instalados no meu init 2 (meu runlevel) e estavam lá, os arquivos listados como instalados ontem: /etc/init.d/DbSecuritySpt /etc/init.d/selinux /etc/init.d/.SSH2 /etc/init.d/.SSH2 Emfim : Não via,até hoje, a necessidade de utilizar um antivírus no meu linux...porém agora.... Caso queiram procurar algo, busquem no google por /etc/init.d/dbsecurityspt e encontrarão algumas referencias. Em todo caso fiquem alertas, principalmente se seu S/O estiver na DMZ (meu caso). Achei o caso desse cara interessante: https://forums.plex.tv/index.php/topic/103175-rootkit-on-my-readynas-516-check-your-boxes/ -- Atenciosamente, Rodrigo da Silva Cunha
