Prezados, bom dia! Um servidor de internet de minha empresa, com Ubuntu Gutsy (7.10), foi infectado com os rootkits SVH4 e SVH5. Este servidor disponibiliza alguns serviços para a internet, como http e https (apache), ssh, dns (bind), ftp (proftpd), além de dar forward em algumas portas para servidores internos (bancos de dados, aplicações web).
Vou formatar e reinstalar do zero, já com o Ubuntu Server 8.04 amd64 LTS. Contudo, o que preciso fazer para me proteger contra estes rootkits específicos? Como eles foram instalados em meu servidor? Sei que a pergunta anterior é vaga, pois não mostrei logs, nem nada. O que quero saber é: que tipo de vulnerabilidades estes dois rootkits exploram comumente? Sinto que se eu apenas reinstalar, sem saber o que devo deixar fechado, em pouco tempo estes ou outros rootkits devem ser instalados novamente... Como proteger meus servidores públicos (internet)? Que sites de segurança linux/net vocês me indicam? Algum site específico de segurança para o Ubuntu? Obrigado e abraços! FILIPE FEDALTO -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
