Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
MALWARE "Virus" no Ubuntu [Alerta]
106 views
Skip to first unread message
Rodrigo Cunha
Nov 14, 2014, 11:30:03 AM11/14/14
to
Srs, utilizo o ubuntu e nesta semana me deparei com um problema.
Minha rede estava falhando e resolvi vas culhar o meu S/O./etc/init.d/DbSecuritySpt
/etc/init.d/selinux
/etc/init.d/.SSH2
/etc/init.d/.SSH2
netname: CHINANET-ZJ-HU
country: CN
descr: CHINANET-ZJ Huzhou node network
Ainda bem que descobri a tempo, só achei estranho, meu primeiro virus de linux e, pelo que eu me lembre não instalei nada no S/O nestes ultimos dias.
Bom, para quem é leigo em segurança, como eu, e quer saber como descobri essas praguinhas, eu sem nada conectado eo meu host, executei netstat -putona, vi os programas que estavam com nomes do tipo :
tcp 0 0 192.168.0.3:45200 ipremoto:7668 ESTABELECIDA 1592/.sshhdd14 keepalive (55,40/0/0)
tcp 0 0 192.168.0.3:35433 ipremoto:36665 ESTABELECIDA 18537/sfewfesfs keepalive (50,02/0/0)
tcp 0 0 192.168.0.3:58840 ipremoto:7168 ESTABELECIDA 13987/.sshdd14 keepalive (50,79/0/0)
tcp 0 0 192.168.0.3:45200 ipremoto:7668 ESTABELECIDA 1592/.sshhdd14 keepalive (55,40/0/0)
tcp 0 0 192.168.0.3:35433 ipremoto:36665 ESTABELECIDA 18537/sfewfesfs keepalive (50,02/0/0)
tcp 0 0 192.168.0.3:58840 ipremoto:7168 ESTABELECIDA 13987/.sshdd14 keepalive (50,79/0/0)
No meu caso, para encontra-los, nao usei a TI, mas sim a lógica, vi os ultimos programas instalados no meu init 2 (meu runlevel)
e estavam lá, os arquivos listados como instalados ontem:
/etc/init.d/DbSecuritySpt
/etc/init.d/selinux
/etc/init.d/.SSH2
/etc/init.d/.SSH2
/etc/init.d/DbSecuritySpt
/etc/init.d/selinux
/etc/init.d/.SSH2
/etc/init.d/.SSH2
Emfim :
Não via,até hoje, a necessidade de utilizar um antivírus no meu linux...porém agora....
Caso queiram procurar algo, busquem no google por /etc/init.d/dbsecurityspt e encontrarão algumas referencias.
Em todo caso fiquem alertas, principalmente se seu S/O estiver na DMZ (meu caso).
Achei o caso desse cara interessante:https://forums.plex.tv/index.php/topic/103175-rootkit-on-my-readynas-516-check-your-boxes/
--
Atenciosamente,
Rodrigo da Silva Cunha
Rodrigo da Silva Cunha
Flavio Menezes dos Reis
Nov 14, 2014, 2:10:03 PM11/14/14
to
Por estas e por outras que prefiro o Debian.
--
Flávio Menezes dos Reis
Procuradoria-Geral do Estado do RS
Assessoria de Informática do Gabinete
Técnico Superior de Informática
(51) 3288-1763
P. J.
Nov 14, 2014, 3:00:03 PM11/14/14
to
Podem existir muitas variáveis nesse contexto, como o local aonde vc
estava acessando, se sua máquina estava atualizada... quais aplicações
vc usa... se usa de muita fontes não oficiais... ou seja "n" coisas...
mas fica a dica de tempos em tempos dar uma monitorada na portas
Em 14/11/14, Flavio Menezes dos Reis<flavi...@pge.rs.gov.br> escreveu:
--
| .''`. A fé não dá respostas. Só impede perguntas.
| : :' :
| `. `'`
| `- Je vois tout
--
To UNSUBSCRIBE, email to debian-user-por...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: https://lists.debian.org/CACnf0phoE8YjkbfjHf_H8VON...@mail.gmail.com
estava acessando, se sua máquina estava atualizada... quais aplicações
vc usa... se usa de muita fontes não oficiais... ou seja "n" coisas...
mas fica a dica de tempos em tempos dar uma monitorada na portas
Em 14/11/14, Flavio Menezes dos Reis<flavi...@pge.rs.gov.br> escreveu:
| .''`. A fé não dá respostas. Só impede perguntas.
| : :' :
| `. `'`
| `- Je vois tout
--
To UNSUBSCRIBE, email to debian-user-por...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: https://lists.debian.org/CACnf0phoE8YjkbfjHf_H8VON...@mail.gmail.com
Thiago Zoroastro
Nov 14, 2014, 4:20:05 PM11/14/14
to
Como poderia eu monitorar essas portas?
$ top
e
$ ps aux
Quais processos não deveriam estar ali?
Que outras formas de monitorar vulnerabilidades do sistema podem ser feitas?
Vlw
$ top
e
$ ps aux
Quais processos não deveriam estar ali?
Que outras formas de monitorar vulnerabilidades do sistema podem ser feitas?
Vlw
To UNSUBSCRIBE, email to debian-user-por...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: https://lists.debian.org/546670E0...@bol.com.br
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Thiago Zoroastro
Nov 14, 2014, 4:30:03 PM11/14/14
to
Depende é claro do tipo de usuário. LMDE é perfeito para usar sem
inesperados empecilhos por conta dos formatos privativos
predominantes. O mais indicado é Trisquel ou gNewSense, mas o
gNewSense é uma porção mais trabalhoso que o próprio Debian.
P. J.
Nov 14, 2014, 7:20:02 PM11/14/14
to
Esse termo virus não sei se é bem adequado pelo tipo de definição
encontradas nas literaturas sobre isso...
Vi por alto que parece ser um backdoor, que faz algo associado a uma
botnet... a vulnerabilidade depende de muitos vetores... provavelmente
um acesso remoto indevido(senha fraca) com permissão de root
habilitada para conectar via ssh conforme o link em [1]... coisa de
juvenil q não faz hardening de servidores...
[1]
http://blogg.openend.se/2014/3/2/malware-under-linux
Em 14/11/14, Thiago Zoroastro<thiago.z...@bol.com.br> escreveu:
verificar o estado de uma porta, pois desde quando top ou ps mostram
estado de portas. Cheio de material decente por aí e ficar ouvindo
esse tipo de coisa é de lascar
--
| .''`. A fé não dá respostas. Só impede perguntas.
| : :' :
| `. `'`
| `- Je vois tout
encontradas nas literaturas sobre isso...
Vi por alto que parece ser um backdoor, que faz algo associado a uma
botnet... a vulnerabilidade depende de muitos vetores... provavelmente
um acesso remoto indevido(senha fraca) com permissão de root
habilitada para conectar via ssh conforme o link em [1]... coisa de
juvenil q não faz hardening de servidores...
[1]
http://blogg.openend.se/2014/3/2/malware-under-linux
Em 14/11/14, Thiago Zoroastro<thiago.z...@bol.com.br> escreveu:
> Como poderia eu monitorar essas portas?
>
> $ top
> e
> $ ps aux
>
> Quais processos não deveriam estar ali?
Ao inves de vc estar falando bobagem leia o link em [1] e veja como
>
> $ top
> e
> $ ps aux
>
> Quais processos não deveriam estar ali?
verificar o estado de uma porta, pois desde quando top ou ps mostram
estado de portas. Cheio de material decente por aí e ficar ouvindo
esse tipo de coisa é de lascar
--
| .''`. A fé não dá respostas. Só impede perguntas.
| : :' :
| `. `'`
| `- Je vois tout
--
To UNSUBSCRIBE, email to debian-user-por...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: https://lists.debian.org/CACnf0piRcr5AqWc-zicw6vEg...@mail.gmail.com
To UNSUBSCRIBE, email to debian-user-por...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
henrique
Nov 15, 2014, 7:40:03 AM11/15/14
to
A minha **opinião** eh que não importa a distribuição, se você alterar o "padrão" dela, vai dar alguma coisa errada.
Veja:
- Ubuntu deixa a senha de root em branco por padrão, e deixa o acesso de root habilitado no ssh por padrão. E isso é seguro. Idiota e non-sense ao meu ver, mas seguro.
- Debian pede para você setar a senha de root e deixa o acesso de root desabilitado por padrão. E isso é seguro.
O que não é seguro é o usuário modificar o padrão sem pensar em consequências. Por ex, habilitar a senha de root no ubuntu, ou habilitar o login de root via ssh no debian, deixa ambos os sistemas mto inseguros, caso a senha de root seja fraca. E esta combinação de fatores (senha fraca no root e acesso de root via ssh ) eh perigosa em qualquer distribuição, em qualquer sistema, seja gnewsense, trisquel, *bsd, beos, tra-la-la-systems.
Os sistemas tem um bom nível de segurança por padrão - com as devidas limitações causadas pelo nosso fator humano. As catástrofes são geral e costumeiramente causadas pelo usuário aspirante a administrador, em qualquer distro, em qualquer sistema, em qualquer cenário.
Abraços
Henry
De: Thiago Zoroastro <thiago.z...@bol.com.br>
Para: debian-user...@lists.debian.org
Enviadas: Sexta-feira, 14 de Novembro de 2014 19:20
Assunto: Re: MALWARE "Virus" no Ubuntu [Alerta]
Andre N Batista
Nov 15, 2014, 9:30:03 AM11/15/14
to
On Fri, Nov 14, 2014 at 07:15:12PM -0200, Thiago Zoroastro wrote:
> Como poderia eu monitorar essas portas?
Dê uma olhada no netstat.
> Como poderia eu monitorar essas portas?
>
> $ top
> e
> $ ps aux
>
> Quais processos não deveriam estar ali?
define a política de instalação de softwares e de segurança da máquina.
>
> Que outras formas de monitorar vulnerabilidades do sistema podem ser feitas?
configurações com o nmap.
Abraços,
Thiago Zoroastro
Nov 15, 2014, 10:30:04 AM11/15/14
to
Adicionar o usuário para usar sudo no /etc/sudoers
root ALL=(ALL:ALL) ALL
deixo embaixo do de cima:
usuario ALL=(ALL:ALL) ALL
E uso sudo no Debian e Debian-baseds. Que é desabilitado por padrão.
Tenho feito isso sempre desde que migrei do Ubuntu.
root ALL=(ALL:ALL) ALL
deixo embaixo do de cima:
usuario ALL=(ALL:ALL) ALL
E uso sudo no Debian e Debian-baseds. Que é desabilitado por padrão.
Tenho feito isso sempre desde que migrei do Ubuntu.
Helio Loureiro
Nov 16, 2014, 6:30:03 AM11/16/14
to
Se não estava atualizado, pode ter sido uma exploração de vulnerabilidade do bash (shell shock).
Nos meus logs eu vejo que isso virou lugar comum. Por qualquer serviço aberto. Http, https, mail, etc.
Helio Loureiro
-= sent by Android =-
Helio Loureiro
Nov 16, 2014, 6:30:03 AM11/16/14
to
É impossível monitorar uma rede com comandos.
Se faz isso pra achar a causa.
Em geral é melhor ter uma ferramenta gráfica como ntop.
Em redes maiores é preciso ter um nagios ou algo similar.
Helio Loureiro
-= sent by Android =-
Thiago Zoroastro
Nov 16, 2014, 10:30:04 AM11/16/14
to
Ok, eu hackeei o Debian mas não sei se fiz algo certo.
Att.
Att.
Thiago Zoroastro
Nov 16, 2014, 12:40:03 PM11/16/14
to
Uma vez li que os navegadores de internet são aonde tem mais
possibilidade de vulnerabilidades. E é o que parece mesmo. Mas não
apenas isso, é como eles tornam-se pesados de vez em quando. Tem
vezes que preciso fazer
$ killall iceweasel
Para restabelecer o computador. Quando a carga no monitor do sistema está lá no alto, ou eu fecho o Iceweasel ou é preciso reiniciar o netbook.
O
"usuario is not in the sudoers file. This incident will be reported."
voltou a aparecer quando uso o sudo em $
Att.
$ killall iceweasel
Para restabelecer o computador. Quando a carga no monitor do sistema está lá no alto, ou eu fecho o Iceweasel ou é preciso reiniciar o netbook.
O
"usuario is not in the sudoers file. This incident will be reported."
voltou a aparecer quando uso o sudo em $
Att.
Emerson Sobreiro
Nov 16, 2014, 12:40:04 PM11/16/14
to
O erro nos navegadores de ficarem lentos, pesados e chegar travar eu já percebi mas testando descobri que é o Flash.
Enio Climaco Sales Junior
Nov 16, 2014, 2:20:03 PM11/16/14
to
Veja se o usuário está em /etc/sudoers
On 16-11-2014 15:29, Thiago Zoroastro wrote:
> "usuario is not in the sudoers file. This incident will be reported."
> "usuario is not in the sudoers file. This incident will be reported."
--
To UNSUBSCRIBE, email to debian-user-por...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: https://lists.debian.org/5468F8B2...@gmail.com
To UNSUBSCRIBE, email to debian-user-por...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Thiago Zoroastro
Nov 16, 2014, 4:50:04 PM11/16/14
to
Retirei propositalmente.
Pô cara eu tenho domínio sobre meu sistema..
Abs
Archive: https://lists.debian.org/54691B09...@bol.com.br
Pô cara eu tenho domínio sobre meu sistema..
Abs
Thiago Zoroastro
Nov 18, 2014, 11:20:04 AM11/18/14
to
Alias Enio,
Teve uma palestra de um sueco a um tempo atrás no CISL SERPRO que ele
recomendou usar um gerenciador de senhas.
Então eu demorei um pouco para entender o que ele estava dizendo e
depois econtrei o keepassx e o keepass2. Prefiri o keepassx.
Ali comecei a colocar senhas diferentes para todos lugares da internet
que frequento e não estava conseguindo mais administrar. A única senha
que sei de cor é a que logo no sistema. A minha senha de root é de longe
maior que qualquer coisa e com mais incrementos que nunca antes. Assim
me sinto seguro. Tirei o usuário do /etc/sudoers porque é mais conveniente.
Você não precisa de rigidez, mas às vezes maior conforto em não precisar
lembrar/escrever todas as senhas. :)
Dica: keepassx
Archive: https://lists.debian.org/546B7129...@bol.com.br
Teve uma palestra de um sueco a um tempo atrás no CISL SERPRO que ele
recomendou usar um gerenciador de senhas.
Então eu demorei um pouco para entender o que ele estava dizendo e
depois econtrei o keepassx e o keepass2. Prefiri o keepassx.
Ali comecei a colocar senhas diferentes para todos lugares da internet
que frequento e não estava conseguindo mais administrar. A única senha
que sei de cor é a que logo no sistema. A minha senha de root é de longe
maior que qualquer coisa e com mais incrementos que nunca antes. Assim
me sinto seguro. Tirei o usuário do /etc/sudoers porque é mais conveniente.
Você não precisa de rigidez, mas às vezes maior conforto em não precisar
lembrar/escrever todas as senhas. :)
Dica: keepassx
Rodrigo Cunha
Nov 22, 2014, 3:10:02 PM11/22/14
to
Eu li no google que é um tipo de ataque sim, o que fiz foi aumentar minha segurança no ubuntu.
Coisas simples que eu achava sem necessidade, mas como a bendita travou a minha rede...comecei a utilizar.
Minha máquina é de testes e nada tenho de importante nela, porém, vai saber quando alguém vai querer utilizar seu host de zombie para atacar terceiros.
Em 16 de novembro de 2014 14:31, Helio Loureiro <he...@loureiro.eng.br> escreveu:
Esse tipo de ataque não é vírus. É um ataque.
Helio Loureiro
-= sent by Android =-
On Nov 16, 2014 5:17 PM, "Rodrigo Cunha" <rodrigo...@gmail.com> wrote:Não sei bem o motivo, o fato é que não se pode confiar 100% em antivírus para uma rede local.Sempre mantenho meu S/O atualizado, mas creio que não seja o bastante.
Helio Loureiro
Nov 23, 2014, 9:10:02 AM11/23/14
to
Olhando meus logs de mail e web, virou lugar comum esse tipo de ataque. Mas bastou um "apt-get update; apt-get upgrade" pra resolver.
Se a equipe de segurança não é capaz disso, não tem nenhum procedimento que possa ajudar, pois esses exigem mais capacidade técnica e conhecimento.
Helio
0 new messages