Ameaça ao pinguim!

ThePinkShark
(usa Slackware)

Enviado em 19/08/2014 - 14:18h

Escrevo a presente para alertar aos usuários de distribuições linux, principalmente do Debian 7 (wheezy) sobre um ataque que tem se tornado cada vez mais comum nos últimos dias e até o presente momento não conheço quem tenha ideia de onde surgiram ou quem os começou.

https://github.com/ValdikSS/billgates-botnet-tracker

Segundo ele não é algo que seria feito de forma automática, ou seja, o botnet seria inserido no seu sistema por um ser humano pensante com cerebro, intestinos, coração pulsante, medula óssea e tudo o mais.

Não entrarei em detalhes aqui, mas acho que todos os seres vivos pensantes aqui do VOL terão potencial necessário para enteder o que isso significa.

Postumamente ThePinkShark.

ThePinkShark
(usa Slackware)

Enviado em 19/08/2014 - 21:42h

Sobe 19/08/2014.

albfneto
(usa openSUSE)

Enviado em 19/08/2014 - 22:01h

acabei de ir no site, não sou profissional de TI,
mas pelo que entendí (não sei se entendí bem)

, todo usuário de SSH pode pegar isso? Esse BotNet? é isso que entendí, vem através do SSH, mais cedo ou mais tarde.

pelo que entendí no link, a instalação da "praga" é automática, mas vai parecem ao usuário, manual.

O link do russo, o projeto dele no github, é um eliminador disso, não?

ThePinkShark
(usa Slackware)

Enviado em 19/08/2014 - 22:16h

Vou tentar esclarecer melhor a situação. ALguém ou um grupo de "alguéns" anda fazendo ataques aos usuários de SSH. Nesse ataque quebra-se a senha do root e usando aconta do root é isntalado este botnet. Este programa irá fazer a festa no seu Linux - até o momento apenas vi isso funcionando em Debians. Ele irá criar alguns programas na sua /urs/bin que irão iniciar "aleatóriamente" e irão dar acesso a informações e facilitações para ataques do tipo DDoS.

Vitimas dessa ameaça são quaisquer computadores com SSH permitindo login como root e com uma senha que possa ser imaginável ou ainda razoavelmente fácil de ser quebrada. Por padrão o Debian não limita o número de falhas ao tentar conectar por ssh isso facilita mais ainda.

Sugiro aos usuários de SSH utilizarem as opções do config para impedir acesso por root e utilizarem uam boa politica de segurança com o iptables e fail2ban.

Este botnet é algo novo e todos são possíveis alvos dele.

Sim o link é de uma ferramente de remoção do programa entretanto não tem garantia alguma pois os ataques são diferentes e possivelmente mais complexos e alguns casos.

Novamente, resumo-me ao silêncio quantoa detalhes mais apurados por achar desnecessário aos Sres. usuários deste forum com capacidade de raciocíno.

removido
(usa Nenhuma)

Enviado em 19/08/2014 - 22:21h

Penso que você poderia não só dar mais detalhes, mas explicando tudo através de um artigo.

albfneto
(usa openSUSE)

Enviado em 19/08/2014 - 22:22h

Obrigado, The Pink, esclarescido! Se vem por SSH, parece sério, todo mundo está sujeito.

netonardin
(usa Arch Linux)

Enviado em 19/08/2014 - 23:01h

desculpe a ignorancia, mas eu não sei nem o que é ssh, muito menos se sou usuario ou como definir ações para isso, como permitir o loguin como root e o numero de repetições...

enfim, o que eu devo fazer para não pegar isso e continuar seguro?

removido
(usa Nenhuma)

Enviado em 19/08/2014 - 23:41h

Pra quem diz que linux nao pega virus http://i.imgur.com/QpKN8vt.jpg

ThePinkShark
(usa Slackware)

Enviado em 20/08/2014 - 00:15h

Bom, tecnicamente botnet não é um vírus. Vírus é camarada...

removido
(usa Nenhuma)

Enviado em 20/08/2014 - 01:23h

Eu sei mais nao podia deixar de fazer essa piada!Fechando a porta 22 ja nao seria uma maneira de evitar o ataque?Na verdade eu nunca usei SSH o unico Putin que eu conheço e presidente da Russia mais e sempre bom prevenir vou fechar a porta 22 (y) Hasta!!!

Tadzio
(usa Linux Mint)

Enviado em 20/08/2014 - 07:47h

Sou leigo em rede, mas pelo que entendi não precisa fechar porta 22, ssh é muito útil.
Basta alterar a porta padrão do ssh, não permitir o login de root via ssh e, pelo menos, acompanhar de longe os logs.

Tem configurações e programas que não permitem os brute force (tentativas repetidas em pouco tempo) também.

Mas fechar o ssh não acho legal.

ThePinkShark
(usa Slackware)

Enviado em 20/08/2014 - 11:48h

Sim, fechar a porta 22 é obviamente um procedimento que ajuda muito. Obviamnete também a ideia de fechar a porta deixa implicito a mudança da porta padrão do SSH.

O programa fail2ban justamente bloqueia um usuário após X tentativas de autenticação falhadas por um tempo Y utilizando vários métodos configuráveis.

Algo importante é uma senha forte, nada de coisas como servidor, senha, password, muitoforte, batatafrita123 pois todas elas são senhas fáceis. Aproveitando peço também que não copiem minha senha ThePinkShark123 pois isso poderá causar uma séria ameaça à sua segurança.