Como poderia eu monitorar essas portas? $ top e $ ps aux
Quais processos não deveriam estar ali? Que outras formas de monitorar vulnerabilidades do sistema podem ser feitas? Vlw On 14-11-2014 17:55, P. J. wrote: > Podem existir muitas variáveis nesse contexto, como o local aonde vc > estava acessando, se sua máquina estava atualizada... quais aplicações > vc usa... se usa de muita fontes não oficiais... ou seja "n" coisas... > mas fica a dica de tempos em tempos dar uma monitorada na portas > > Em 14/11/14, Flavio Menezes dos Reis<[email protected]> escreveu: >> Por estas e por outras que prefiro o Debian. >> >> Em 14 de novembro de 2014 14:25, Rodrigo Cunha <[email protected]> >> escreveu: >> >>> Srs, utilizo o ubuntu e nesta semana me deparei com um problema. >>> Minha rede estava falhando e resolvi vas culhar o meu S/O. >>> Descobri os arquivos abaixo instalados no meu PC local : >>> >>> /etc/init.d/DbSecuritySpt >>> /etc/init.d/selinux >>> /etc/init.d/.SSH2 >>> /etc/init.d/.SSH2 >>> >>> Eles geravam um daemon chamado sfewfesfs e alguns subprogramas chamados >>> de >>> sshdd14xxx e se conectavam com ips na china : >>> >>> netname: CHINANET-ZJ-HU >>> country: CN >>> descr: CHINANET-ZJ Huzhou node network >>> >>> Ainda bem que descobri a tempo, só achei estranho, meu primeiro virus de >>> linux e, pelo que eu me lembre não instalei nada no S/O nestes ultimos >>> dias. >>> >>> Bom, para quem é leigo em segurança, como eu, e quer saber como descobri >>> essas praguinhas, eu sem nada conectado eo meu host, executei netstat >>> -putona, vi os programas que estavam com nomes do tipo : >>> tcp 0 0 192.168.0.3:45200 ipremoto:7668 >>> ESTABELECIDA 1592/.sshhdd14 keepalive (55,40/0/0) >>> tcp 0 0 192.168.0.3:35433 ipremoto:36665 >>> ESTABELECIDA 18537/sfewfesfs keepalive (50,02/0/0) >>> tcp 0 0 192.168.0.3:58840 ipremoto:7168 >>> ESTABELECIDA 13987/.sshdd14 keepalive (50,79/0/0) >>> No meu caso, para encontra-los, nao usei a TI, mas sim a lógica, vi os >>> ultimos programas instalados no meu init 2 (meu runlevel) >>> e estavam lá, os arquivos listados como instalados ontem: >>> /etc/init.d/DbSecuritySpt >>> /etc/init.d/selinux >>> /etc/init.d/.SSH2 >>> /etc/init.d/.SSH2 >>> Emfim : >>> Não via,até hoje, a necessidade de utilizar um antivírus no meu >>> linux...porém agora.... >>> Caso queiram procurar algo, busquem no google por >>> /etc/init.d/dbsecurityspt e encontrarão algumas referencias. >>> Em todo caso fiquem alertas, principalmente se seu S/O estiver na DMZ >>> (meu >>> caso). >>> Achei o caso desse cara interessante: >>> >>> https://forums.plex.tv/index.php/topic/103175-rootkit-on-my-readynas-516-check-your-boxes/ >>> >>> -- >>> Atenciosamente, >>> Rodrigo da Silva Cunha >>> >>> >> >> -- >> Flávio Menezes dos Reis >> Procuradoria-Geral do Estado do RS >> Assessoria de Informática do Gabinete >> Técnico Superior de Informática >> (51) 3288-1763 >> > -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: https://lists.debian.org/[email protected]
