No passado, eles correram pela rede relatórios de ataques Eles exploram uma vulnerabilidade no PHP, que permite que alguns sites legítimos exibam páginas da Web e anúncios fraudulentos, expondo os visitantes à instalação de malware em seus computadores. Esses ataques tiram vantagem de um vulnerabilidade de PHP extremamente crítica exposto publicamente há 22 meses e para o qual as atualizações correspondentes foram lançadas.
Alguns começaram a apontar insistentemente que boa parte dos servidores comprometidos nesses ataques estão rodando versões do GNU / Linux, fingindo questionar a segurança deste Sistema Operacional, mas sem entrar em detalhes sobre a natureza da vulnerabilidade ou os motivos por que isso aconteceu.
Sistemas com GNU / Linux infectado, em todos os casos, eles estão executando o Linux kernel versão 2.6, lançado em 2007 ou antes. Em nenhum caso é mencionada a infecção de sistemas rodando kernels superiores ou devidamente atualizados; Mas é claro, ainda existem administradores que pensam "... se não está quebrado, não precisa consertar" e então essas coisas acontecem.
Além disso, um estudo recente da empresa de segurança ESET, expõe a chamada em detalhes "Operação Windigo", em que por meio de vários kits de ataque, incluindo um chamado idiota especialmente projetado para Apache e outros servidores da web de código aberto populares, bem como outro chamado SSH, foram mais de 26,000 sistemas GNU / Linux comprometidos desde maio do ano passado, isso significa que GNU / Linux não é mais seguro?
Em primeiro lugar, colocando as coisas em contexto, se compararmos os números anteriores com os quase 2 milhões de computadores Windows comprometidos pelo bootnet Zero Access Antes de ser encerrado em dezembro de 2013, é fácil concluir que, em termos de segurança, Os sistemas GNU / Linux são ainda mais seguros do que aqueles que usam o sistema operacional Microsoft, mas é culpa do GNU / Linux que 26,000 sistemas com esse sistema operacional foram comprometidos?
Como no caso da vulnerabilidade crítica do PHP discutida acima, que afeta sistemas sem atualizações de kernel, esses outros ataques envolvem sistemas nos quais o nome de usuário e / ou senha padrão não foi alterado e que manteve o portas 23 e 80 desnecessariamente abertas; Então é realmente culpa do GNU / Linux?
Obviamente, a resposta é NÃO, o problema não é o SO que é usado, mas a irresponsabilidade e negligência dos administradores desses sistemas que não entendem muito bem o máximo declarado pelo especialista em segurança Bruce Schneier que deve ser queimado em nossos cérebros: Segurança É um processo NÃO um produto.
É inútil instalarmos um sistema comprovadamente seguro se o deixarmos abandonado e não instalarmos as atualizações correspondentes assim que forem lançadas. Da mesma forma, é inútil manter nosso sistema atualizado se as credenciais de autenticação que aparecem por padrão durante a instalação continuam a ser usadas. Em ambos os casos, é procedimentos elementares de segurança, que não são devidos à repetição, são devidamente aplicados.
Se você tem sob seus cuidados um sistema GNU / Linux com Apache ou outro servidor web de código aberto e deseja verificar se ele foi comprometido, o procedimento é simples. No caso de enterrar, você deve abrir um terminal e digitar o seguinte comando:
ssh -G
Se a resposta for diferente de:
ssh: illegal option – G
e a lista de opções corretas para esse comando, então seu sistema está comprometido.
Para o caso de idiota, o procedimento é um pouco mais complicado. Você deve abrir um terminal e escrever:
curl -i http://myserver/favicon.iso | grep "Location:"
Se o seu sistema foi comprometido, então idiota ele redirecionará a solicitação e fornecerá a seguinte saída:
Location: http://google.com
Caso contrário, ele não retornará nada ou um local diferente.
A forma de desinfecção pode parecer grosseira, mas é a única comprovadamente eficaz: limpeza total do sistema, reinstalação do zero e redefinir todas as credenciais usuário e administrador de um terminal não comprometido. Se você achar difícil, considere que, se você tivesse alterado as credenciais prontamente, não teria comprometido o sistema.
Para uma análise muito mais detalhada das formas como essas infecções operam, bem como as formas específicas usadas para disseminá-las e as medidas correspondentes a serem tomadas, sugerimos fazer o download e ler a análise completa do "Operação Windigo" disponível no seguinte link:
Finalmente, um conclusão fundamental: Não há sistema operacional garantido contra administradores irresponsáveis ou descuidados; Quanto à segurança, sempre há o que fazer, porque o primeiro e mais grave erro é pensar que já o conseguimos, ou não achas?
É tudo verdade, as pessoas "acontecem", e então acontece o que acontece. Vejo isso diariamente com a emissão de updates, independente do sistema (Linux, Windows, Mac, Android ...) que as pessoas não atualizam, são preguiçosas, não têm tempo, não jogo por precaução ...
E não só isso, mas eles mudam as credenciais padrão ou continuam usando senhas como "1234" e similares e reclamam; e sim, você está certo, não importa qual sistema operacional eles usam, os erros são os mesmos.
Muito obrigado por parar e comentar ...
Excelente! muito verdadeiro em tudo!
Obrigado pelo seu comentário e pela visita ...
Um comando mais completo que encontrei na rede de um usuário @Matt:
ssh -G 2> & 1 | grep -e ilegal -e desconhecido> / dev / null && echo "Sistema limpo" || echo "Sistema infectado"
Uau! ... Muito melhor, o comando já te fala diretamente.
Obrigado pela contribuição e pela visita.
Eu concordo plenamente com você, a segurança é uma melhoria contínua!
Excelente artigo!
Muito obrigado pelo comentário e pela visita ...
É verdade, é um trabalho de formiga onde você tem que estar sempre verificando e cuidando da segurança.
Bom artigo, ontem à noite meu sócio estava me contando sobre a operação Windigo que leu no noticiário: "não que o Linux seja invulnerável a infecções", e ele estava dizendo que dependia de muitas coisas, não apenas se o Linux fosse ou não tivesse certeza .
Vou recomendar que você leia este artigo, mesmo que você não entenda nada sobre detalhes técnicos XD
Infelizmente essa é a impressão deixada por esse tipo de notícia, que na minha opinião é intencionalmente deturpada, felizmente seu parceiro pelo menos comentou com você, mas agora prepare-se para uma rodada de perguntas após a leitura do artigo.
Muito obrigado pelo comentário e pela visita ...
Artigo muito bom, Charlie. Obrigado por dedicar seu tempo.
Obrigado pela visita e pelo seu comentário ...
artigo muito bom!
abraço, pablo.
Muito obrigado Pablo, um abraço ...
Grato pelas informações que você publica, e em total acordo com os critérios explicados, aliás muito boa referência ao artigo da Schneier "Segurança É um processo NÃO um produto".
Saudações da Venezuela. 😀
Obrigado por comentar e por visitar.
Bom!
Em primeiro lugar, excelente contribuição !! Eu li e tem sido muito interessante, concordo plenamente com a sua opinião que segurança é um processo, não um produto, depende do administrador do Sistema, que vale a pena ter um sistema super seguro se você deixá-lo lá sem atualizar e mesmo sem alterar as credenciais padrão?
Aproveito para lhe fazer uma pergunta, se você não se importar, espero que não se importe de responder.
Olha, estou realmente muito animado com este tópico de segurança e gostaria de aprender mais sobre segurança em GNU / Linux, SSH e o que GNU / Linux é em geral, vamos lá, se não é um incômodo, você poderia me recomendar algo começar com? Um PDF, um "índice", qualquer coisa que possa orientar um novato ajudaria.
Saudações e muito obrigado antecipadamente!
Operação Windigo ... Até recentemente percebi esta situação, todos nós sabemos que a segurança no GNU / Linux é mais do que responsabilidade do administrador. Bem, ainda não entendo como meu sistema foi comprometido, ou seja, "Sistema infectado" se não instalei nada no sistema que não seja diretamente do suporte, e na verdade se já faz uma semana que instalei o Linux Mint, e só instalei lm-sensores, Gparted e ferramentas de modo laptop, por isso me parece estranho que o sistema tenha sido infectado, agora tenho que removê-lo completamente e reinstalar. Agora tenho uma grande dúvida sobre como proteger o sistema desde que foi infectado e nem sei como haha ...
obrigado pela informação.
É sempre importante contar com mecanismos de segurança como o delineado no artigo e outros no que diz respeito ao cuidado da família, mas se quiser conhecer todas as opções que o mercado oferece nesse sentido, convido-o a visitar http://www.portaldeseguridad.es/