Eu li no google que é um tipo de ataque sim, o que fiz foi aumentar minha segurança no ubuntu. Coisas simples que eu achava sem necessidade, mas como a bendita travou a minha rede...comecei a utilizar. Minha máquina é de testes e nada tenho de importante nela, porém, vai saber quando alguém vai querer utilizar seu host de zombie para atacar terceiros.
Em 16 de novembro de 2014 14:31, Helio Loureiro <[email protected]> escreveu: > Esse tipo de ataque não é vírus. É um ataque. > > Helio Loureiro > -= sent by Android =- > On Nov 16, 2014 5:17 PM, "Rodrigo Cunha" <[email protected]> > wrote: > >> Não sei bem o motivo, o fato é que não se pode confiar 100% em antivírus >> para uma rede local. >> Sempre mantenho meu S/O atualizado, mas creio que não seja o bastante. >> >> >> >> >> Em 16 de novembro de 2014 09:20, Helio Loureiro <[email protected]> >> escreveu: >> >>> Se não estava atualizado, pode ter sido uma exploração de >>> vulnerabilidade do bash (shell shock). >>> Nos meus logs eu vejo que isso virou lugar comum. Por qualquer serviço >>> aberto. Http, https, mail, etc. >>> >>> Helio Loureiro >>> -= sent by Android =- >>> On Nov 15, 2014 4:22 PM, "Thiago Zoroastro" <[email protected]> >>> wrote: >>> >>>> Adicionar o usuário para usar sudo no /etc/sudoers >>>> root ALL=(ALL:ALL) ALL >>>> >>>> deixo embaixo do de cima: >>>> usuario ALL=(ALL:ALL) ALL >>>> >>>> E uso sudo no Debian e Debian-baseds. Que é desabilitado por padrão. >>>> >>>> Tenho feito isso sempre desde que migrei do Ubuntu. >>>> >>>> On 15-11-2014 10:31, henrique wrote: >>>> >>>> A minha **opinião** eh que não importa a distribuição, se você >>>> alterar o "padrão" dela, vai dar alguma coisa errada. >>>> Veja: >>>> >>>> - Ubuntu deixa a senha de root em branco por padrão, e deixa o acesso >>>> de root habilitado no ssh por padrão. E isso é seguro. Idiota e non-sense >>>> ao meu ver, mas seguro. >>>> >>>> - Debian pede para você setar a senha de root e deixa o acesso de >>>> root desabilitado por padrão. E isso é seguro. >>>> >>>> O que não é seguro é o usuário modificar o padrão sem pensar em >>>> consequências. Por ex, habilitar a senha de root no ubuntu, ou habilitar o >>>> login de root via ssh no debian, deixa ambos os sistemas mto inseguros, >>>> caso a senha de root seja fraca. E esta combinação de fatores (senha fraca >>>> no root e acesso de root via ssh ) eh perigosa em qualquer distribuição, em >>>> qualquer sistema, seja gnewsense, trisquel, *bsd, beos, tra-la-la-systems. >>>> >>>> Os sistemas tem um bom nível de segurança por padrão - com as devidas >>>> limitações causadas pelo nosso fator humano. As catástrofes são geral e >>>> costumeiramente causadas pelo usuário aspirante a administrador, em >>>> qualquer distro, em qualquer sistema, em qualquer cenário. >>>> >>>> Abraços >>>> >>>> Henry >>>> >>>> ------------------------------ >>>> *De:* Thiago Zoroastro <[email protected]> >>>> <[email protected]> >>>> *Para:* [email protected] >>>> *Enviadas:* Sexta-feira, 14 de Novembro de 2014 19:20 >>>> *Assunto:* Re: MALWARE "Virus" no Ubuntu [Alerta] >>>> >>>> Depende é claro do tipo de usuário. LMDE é perfeito para usar sem >>>> inesperados empecilhos por conta dos formatos privativos predominantes. O >>>> mais indicado é Trisquel ou gNewSense, mas o gNewSense é uma porção mais >>>> trabalhoso que o próprio Debian. >>>> >>>> >>>> >>>> On 14-11-2014 17:05, Flavio Menezes dos Reis wrote: >>>> >>>> Por estas e por outras que prefiro o Debian. >>>> >>>> Em 14 de novembro de 2014 14:25, Rodrigo Cunha < >>>> [email protected]> escreveu: >>>> >>>> Srs, utilizo o ubuntu e nesta semana me deparei com um problema. >>>> Minha rede estava falhando e resolvi vas culhar o meu S/O. >>>> Descobri os arquivos abaixo instalados no meu PC local : >>>> >>>> /etc/init.d/DbSecuritySpt >>>> /etc/init.d/selinux >>>> /etc/init.d/.SSH2 >>>> /etc/init.d/.SSH2 >>>> >>>> Eles geravam um daemon chamado sfewfesfs e alguns subprogramas >>>> chamados de sshdd14xxx e se conectavam com ips na china : >>>> >>>> netname: CHINANET-ZJ-HU >>>> country: CN >>>> descr: CHINANET-ZJ Huzhou node network >>>> >>>> Ainda bem que descobri a tempo, só achei estranho, meu primeiro virus >>>> de linux e, pelo que eu me lembre não instalei nada no S/O nestes ultimos >>>> dias. >>>> >>>> Bom, para quem é leigo em segurança, como eu, e quer saber como >>>> descobri essas praguinhas, eu sem nada conectado eo meu host, executei >>>> netstat -putona, vi os programas que estavam com nomes do tipo : >>>> tcp 0 0 192.168.0.3:45200 ipremoto:7668 >>>> ESTABELECIDA 1592/.sshhdd14 keepalive (55,40/0/0) >>>> tcp 0 0 192.168.0.3:35433 ipremoto:36665 >>>> ESTABELECIDA 18537/sfewfesfs keepalive (50,02/0/0) >>>> tcp 0 0 192.168.0.3:58840 ipremoto:7168 >>>> ESTABELECIDA 13987/.sshdd14 keepalive (50,79/0/0) >>>> No meu caso, para encontra-los, nao usei a TI, mas sim a lógica, vi >>>> os ultimos programas instalados no meu init 2 (meu runlevel) >>>> e estavam lá, os arquivos listados como instalados ontem: >>>> /etc/init.d/DbSecuritySpt >>>> /etc/init.d/selinux >>>> /etc/init.d/.SSH2 >>>> /etc/init.d/.SSH2 >>>> Emfim : >>>> Não via,até hoje, a necessidade de utilizar um antivírus no meu >>>> linux...porém agora.... >>>> Caso queiram procurar algo, busquem no google por >>>> /etc/init.d/dbsecurityspt e encontrarão algumas referencias. >>>> Em todo caso fiquem alertas, principalmente se seu S/O estiver na DMZ >>>> (meu caso). >>>> Achei o caso desse cara interessante: >>>> >>>> https://forums.plex.tv/index.php/topic/103175-rootkit-on-my-readynas-516-check-your-boxes/ >>>> >>>> -- >>>> Atenciosamente, >>>> Rodrigo da Silva Cunha >>>> >>>> >>>> >>>> >>>> -- >>>> Flávio Menezes dos Reis >>>> Procuradoria-Geral do Estado do RS >>>> Assessoria de Informática do Gabinete >>>> Técnico Superior de Informática >>>> (51) 3288-1763 >>>> >>>> >>>> >>>> >>>> >> >> >> -- >> Atenciosamente, >> Rodrigo da Silva Cunha >> >> -- Atenciosamente, Rodrigo da Silva Cunha
