Olhando meus logs de mail e web, virou lugar comum esse tipo de ataque. Mas bastou um "apt-get update; apt-get upgrade" pra resolver.
Se a equipe de segurança não é capaz disso, não tem nenhum procedimento que possa ajudar, pois esses exigem mais capacidade técnica e conhecimento. Helio Em 22/11/2014 21:08, "Rodrigo Cunha" <[email protected]> escreveu: > Eu li no google que é um tipo de ataque sim, o que fiz foi aumentar minha > segurança no ubuntu. > Coisas simples que eu achava sem necessidade, mas como a bendita travou a > minha rede...comecei a utilizar. > Minha máquina é de testes e nada tenho de importante nela, porém, vai > saber quando alguém vai querer utilizar seu host de zombie para atacar > terceiros. > > Em 16 de novembro de 2014 14:31, Helio Loureiro <[email protected]> > escreveu: > >> Esse tipo de ataque não é vírus. É um ataque. >> >> Helio Loureiro >> -= sent by Android =- >> On Nov 16, 2014 5:17 PM, "Rodrigo Cunha" <[email protected]> >> wrote: >> >>> Não sei bem o motivo, o fato é que não se pode confiar 100% em antivírus >>> para uma rede local. >>> Sempre mantenho meu S/O atualizado, mas creio que não seja o bastante. >>> >>> >>> >>> >>> Em 16 de novembro de 2014 09:20, Helio Loureiro <[email protected]> >>> escreveu: >>> >>>> Se não estava atualizado, pode ter sido uma exploração de >>>> vulnerabilidade do bash (shell shock). >>>> Nos meus logs eu vejo que isso virou lugar comum. Por qualquer serviço >>>> aberto. Http, https, mail, etc. >>>> >>>> Helio Loureiro >>>> -= sent by Android =- >>>> On Nov 15, 2014 4:22 PM, "Thiago Zoroastro" < >>>> [email protected]> wrote: >>>> >>>>> Adicionar o usuário para usar sudo no /etc/sudoers >>>>> root ALL=(ALL:ALL) ALL >>>>> >>>>> deixo embaixo do de cima: >>>>> usuario ALL=(ALL:ALL) ALL >>>>> >>>>> E uso sudo no Debian e Debian-baseds. Que é desabilitado por padrão. >>>>> >>>>> Tenho feito isso sempre desde que migrei do Ubuntu. >>>>> >>>>> On 15-11-2014 10:31, henrique wrote: >>>>> >>>>> A minha **opinião** eh que não importa a distribuição, se você >>>>> alterar o "padrão" dela, vai dar alguma coisa errada. >>>>> Veja: >>>>> >>>>> - Ubuntu deixa a senha de root em branco por padrão, e deixa o >>>>> acesso de root habilitado no ssh por padrão. E isso é seguro. Idiota e >>>>> non-sense ao meu ver, mas seguro. >>>>> >>>>> - Debian pede para você setar a senha de root e deixa o acesso de >>>>> root desabilitado por padrão. E isso é seguro. >>>>> >>>>> O que não é seguro é o usuário modificar o padrão sem pensar em >>>>> consequências. Por ex, habilitar a senha de root no ubuntu, ou habilitar o >>>>> login de root via ssh no debian, deixa ambos os sistemas mto inseguros, >>>>> caso a senha de root seja fraca. E esta combinação de fatores (senha fraca >>>>> no root e acesso de root via ssh ) eh perigosa em qualquer distribuição, >>>>> em >>>>> qualquer sistema, seja gnewsense, trisquel, *bsd, beos, tra-la-la-systems. >>>>> >>>>> Os sistemas tem um bom nível de segurança por padrão - com as >>>>> devidas limitações causadas pelo nosso fator humano. As catástrofes são >>>>> geral e costumeiramente causadas pelo usuário aspirante a administrador, >>>>> em >>>>> qualquer distro, em qualquer sistema, em qualquer cenário. >>>>> >>>>> Abraços >>>>> >>>>> Henry >>>>> >>>>> ------------------------------ >>>>> *De:* Thiago Zoroastro <[email protected]> >>>>> <[email protected]> >>>>> *Para:* [email protected] >>>>> *Enviadas:* Sexta-feira, 14 de Novembro de 2014 19:20 >>>>> *Assunto:* Re: MALWARE "Virus" no Ubuntu [Alerta] >>>>> >>>>> Depende é claro do tipo de usuário. LMDE é perfeito para usar sem >>>>> inesperados empecilhos por conta dos formatos privativos predominantes. O >>>>> mais indicado é Trisquel ou gNewSense, mas o gNewSense é uma porção mais >>>>> trabalhoso que o próprio Debian. >>>>> >>>>> >>>>> >>>>> On 14-11-2014 17:05, Flavio Menezes dos Reis wrote: >>>>> >>>>> Por estas e por outras que prefiro o Debian. >>>>> >>>>> Em 14 de novembro de 2014 14:25, Rodrigo Cunha < >>>>> [email protected]> escreveu: >>>>> >>>>> Srs, utilizo o ubuntu e nesta semana me deparei com um problema. >>>>> Minha rede estava falhando e resolvi vas culhar o meu S/O. >>>>> Descobri os arquivos abaixo instalados no meu PC local : >>>>> >>>>> /etc/init.d/DbSecuritySpt >>>>> /etc/init.d/selinux >>>>> /etc/init.d/.SSH2 >>>>> /etc/init.d/.SSH2 >>>>> >>>>> Eles geravam um daemon chamado sfewfesfs e alguns subprogramas >>>>> chamados de sshdd14xxx e se conectavam com ips na china : >>>>> >>>>> netname: CHINANET-ZJ-HU >>>>> country: CN >>>>> descr: CHINANET-ZJ Huzhou node network >>>>> >>>>> Ainda bem que descobri a tempo, só achei estranho, meu primeiro >>>>> virus de linux e, pelo que eu me lembre não instalei nada no S/O nestes >>>>> ultimos dias. >>>>> >>>>> Bom, para quem é leigo em segurança, como eu, e quer saber como >>>>> descobri essas praguinhas, eu sem nada conectado eo meu host, executei >>>>> netstat -putona, vi os programas que estavam com nomes do tipo : >>>>> tcp 0 0 192.168.0.3:45200 ipremoto:7668 >>>>> ESTABELECIDA 1592/.sshhdd14 keepalive (55,40/0/0) >>>>> tcp 0 0 192.168.0.3:35433 ipremoto:36665 >>>>> ESTABELECIDA 18537/sfewfesfs keepalive (50,02/0/0) >>>>> tcp 0 0 192.168.0.3:58840 ipremoto:7168 >>>>> ESTABELECIDA 13987/.sshdd14 keepalive (50,79/0/0) >>>>> No meu caso, para encontra-los, nao usei a TI, mas sim a lógica, vi >>>>> os ultimos programas instalados no meu init 2 (meu runlevel) >>>>> e estavam lá, os arquivos listados como instalados ontem: >>>>> /etc/init.d/DbSecuritySpt >>>>> /etc/init.d/selinux >>>>> /etc/init.d/.SSH2 >>>>> /etc/init.d/.SSH2 >>>>> Emfim : >>>>> Não via,até hoje, a necessidade de utilizar um antivírus no meu >>>>> linux...porém agora.... >>>>> Caso queiram procurar algo, busquem no google por >>>>> /etc/init.d/dbsecurityspt e encontrarão algumas referencias. >>>>> Em todo caso fiquem alertas, principalmente se seu S/O estiver na >>>>> DMZ (meu caso). >>>>> Achei o caso desse cara interessante: >>>>> >>>>> https://forums.plex.tv/index.php/topic/103175-rootkit-on-my-readynas-516-check-your-boxes/ >>>>> >>>>> -- >>>>> Atenciosamente, >>>>> Rodrigo da Silva Cunha >>>>> >>>>> >>>>> >>>>> >>>>> -- >>>>> Flávio Menezes dos Reis >>>>> Procuradoria-Geral do Estado do RS >>>>> Assessoria de Informática do Gabinete >>>>> Técnico Superior de Informática >>>>> (51) 3288-1763 >>>>> >>>>> >>>>> >>>>> >>>>> >>> >>> >>> -- >>> Atenciosamente, >>> Rodrigo da Silva Cunha >>> >>> > > > -- > Atenciosamente, > Rodrigo da Silva Cunha > >
