Se não estava atualizado, pode ter sido uma exploração de vulnerabilidade do bash (shell shock).
Nos meus logs eu vejo que isso virou lugar comum. Por qualquer serviço aberto. Http, https, mail, etc.
Helio Loureiro
-= sent by Android =-
Adicionar o usuário para usar sudo no /etc/sudoers
root ALL=(ALL:ALL) ALL
deixo embaixo do de cima:
usuario ALL=(ALL:ALL) ALL
E uso sudo no Debian e Debian-baseds. Que é desabilitado por padrão.
Tenho feito isso sempre desde que migrei do Ubuntu.
On 15-11-2014 10:31, henrique wrote:
A minha **opinião** eh que não importa a distribuição, se você alterar o "padrão" dela, vai dar alguma coisa errada.Veja:
- Ubuntu deixa a senha de root em branco por padrão, e deixa o acesso de root habilitado no ssh por padrão. E isso é seguro. Idiota e non-sense ao meu ver, mas seguro.
- Debian pede para você setar a senha de root e deixa o acesso de root desabilitado por padrão. E isso é seguro.
O que não é seguro é o usuário modificar o padrão sem pensar em consequências. Por ex, habilitar a senha de root no ubuntu, ou habilitar o login de root via ssh no debian, deixa ambos os sistemas mto inseguros, caso a senha de root seja fraca. E esta combinação de fatores (senha fraca no root e acesso de root via ssh ) eh perigosa em qualquer distribuição, em qualquer sistema, seja gnewsense, trisquel, *bsd, beos, tra-la-la-systems.
Os sistemas tem um bom nível de segurança por padrão - com as devidas limitações causadas pelo nosso fator humano. As catástrofes são geral e costumeiramente causadas pelo usuário aspirante a administrador, em qualquer distro, em qualquer sistema, em qualquer cenário.
Abraços
Henry
De: Thiago Zoroastro <thiago.zoroastro@bol.com.br>
Para: debian-user-portuguese@lists.debian.org
Enviadas: Sexta-feira, 14 de Novembro de 2014 19:20
Assunto: Re: MALWARE "Virus" no Ubuntu [Alerta]
Depende é claro do tipo de usuário. LMDE é perfeito para usar sem inesperados empecilhos por conta dos formatos privativos predominantes. O mais indicado é Trisquel ou gNewSense, mas o gNewSense é uma porção mais trabalhoso que o próprio Debian.
On 14-11-2014 17:05, Flavio Menezes dos Reis wrote:
Por estas e por outras que prefiro o Debian.
Em 14 de novembro de 2014 14:25, Rodrigo Cunha <rodrigo.root.rj@gmail.com> escreveu:
Eles geravam um daemon chamado sfewfesfs e alguns subprogramas chamados de sshdd14xxx e se conectavam com ips na china :Descobri os arquivos abaixo instalados no meu PC local :Srs, utilizo o ubuntu e nesta semana me deparei com um problema.Minha rede estava falhando e resolvi vas culhar o meu S/O.
/etc/init.d/DbSecuritySpt
/etc/init.d/selinux
/etc/init.d/.SSH2
/etc/init.d/.SSH2
netname: CHINANET-ZJ-HU
country: CN
descr: CHINANET-ZJ Huzhou node network
Ainda bem que descobri a tempo, só achei estranho, meu primeiro virus de linux e, pelo que eu me lembre não instalei nada no S/O nestes ultimos dias.
Bom, para quem é leigo em segurança, como eu, e quer saber como descobri essas praguinhas, eu sem nada conectado eo meu host, executei netstat -putona, vi os programas que estavam com nomes do tipo :
tcp 0 0 192.168.0.3:45200 ipremoto:7668 ESTABELECIDA 1592/.sshhdd14 keepalive (55,40/0/0)
tcp 0 0 192.168.0.3:35433 ipremoto:36665 ESTABELECIDA 18537/sfewfesfs keepalive (50,02/0/0)
tcp 0 0 192.168.0.3:58840 ipremoto:7168 ESTABELECIDA 13987/.sshdd14 keepalive (50,79/0/0)
No meu caso, para encontra-los, nao usei a TI, mas sim a lógica, vi os ultimos programas instalados no meu init 2 (meu runlevel)
e estavam lá, os arquivos listados como instalados ontem:
/etc/init.d/DbSecuritySpt
/etc/init.d/selinux
/etc/init.d/.SSH2
/etc/init.d/.SSH2
Emfim :
Não via,até hoje, a necessidade de utilizar um antivírus no meu linux...porém agora....
Caso queiram procurar algo, busquem no google por /etc/init.d/dbsecurityspt e encontrarão algumas referencias.
Em todo caso fiquem alertas, principalmente se seu S/O estiver na DMZ (meu caso).Achei o caso desse cara interessante:
https://forums.plex.tv/index.php/topic/103175-rootkit-on-my-readynas-516-check-your-boxes/
--
Atenciosamente,
Rodrigo da Silva Cunha
--
Flávio Menezes dos ReisProcuradoria-Geral do Estado do RSAssessoria de Informática do GabineteTécnico Superior de Informática