Meio Bit - Sobre a imunidade do Linux - Comentários

Um servidor é coisa

visitante — Mon, 9 Oct 2006 17:32:41 -0300

Um servidor é coisa séria.
O mínimo que se espera é que o admin assine a lista de atualizações da distro que usa -- e atualize o sistema quando houver atualizações que corrijam falhas de segurança.

Agora, não é pq o administrador dormiu no ponto que o sistma é ruim. Continua sendo imune a virus. Para tristeza de quem lucra com infecções!

Sou usuário Linux e pelo

henriquez — Mon, 9 Oct 2006 15:09:18 -0300

Sou usuário Linux e pelo menos POR ENQUANTO estamos livres dessas pragas chamadas vírus.Mas como qualquer outro sistema operacional existem falhas,já divulgadas, assim como outras que ainda não foram noticiadas e muitos usuários não levam issu em consideração.Todo sistema precisa ser atualizado,muitas pessoas acham que atualização é uma coisa besta e sem necessidade e é ai que está o erro da grande maioria.

Em se tratando de um servidor o erro é mais grave ainda,um simples pensamento desse pode comprometer uma rede inteira e render uma bela visita ao RH de sua empresa :}

Todos sabem que existem

viniciusfs — Mon, 9 Oct 2006 12:32:46 -0300

Todos sabem que existem outras formas de comprometer um sistema, ainda mais um servidor mal configurado.

Sobre a imunidade do Linux

Marcellus Pereira — Mon, 9 Oct 2006 10:25:38 -0300

Os usuários de Linux podem se gabar de não haver vírus ( seguindo a definição estrita da coisa ) para sua plataforma. No entanto, essa sensação de segurança abre uma brecha para que outros tipos de ataques aconteçam.

Recentemente, um amigo me chamou às pressas, pois seu servidor Linux estava parado, "com uma tela estranha"... a tela era o aviso do SucKIT, um "rootkit" muito bem feito e difícil de detectar.

Algo deu errado e o SucKIT reclamou da ausência de um 'init' válido, solicitando a reinstalação e, o que causou toda a celeuma: travou a máquina.

Para recuperá-la, usei um disquete de boot com uma distribuição antiga, mas que já me salvou várias vezes: a Tomsrtbt.

Fiz um backup do 'init' e copiei outro, válido, de uma máquina com a mesma versão do S.O. Felizmente, o sistema subiu.

A partir daí, baixei o chkrootkit, um pacote de programas e scripts para detecção e remoção de rootkits. Ele confirmou que o init ( a cópia de backup ) tinha mesmo sido corrompida pelo SucKIT.

Como é difícil saber o que foi feito pelo invasor ( os logs foram apagados e não pude recuperá-los ), recomendei a reinstalação completa do sistema e a mudança da política de senhas ( havia senhas que não eram trocadas há mais de seis meses ! ). Além, é claro, de uma consultoria especializada em segurança.

Não sou um especialista e o objetivo do artigo não é aprofundar o tema. Mas apenas lembrar aos seguidores do pinguim que é preciso manter os olhos abertos. Há muitas outras formas de comprometer um sistema que não através dos vírus.