Virus no linux

kakau.rios
(usa Kurumin)

Enviado em 15/04/2008 - 09:14h

Trabalho em uma empresa onde somos filial. Minha matriz enivou um e-mailinformando que meu servidor proxy (DNS1) está infectado com o WORM_NETSKY.X e W32/Netsky@MM. Em que diretório verifico esta informação ou que maneira verificar?

Obs: Tenho configurado a interface gráfica do Debian (Xorg) apenas apra verificação de uma aplicação. Como faço para desistalar a interface gráfica? Pode ter sido por isso que infectou, ou não?

maran
(usa Debian)

Enviado em 15/04/2008 - 09:44h

o que infectou foi um virus do win teu servidor...

A interace gráfica do Debian ainda mais se for o etch ou mais antigos nada tem a ver com o virus, este vurus pode ter sido gerado de um comunicacao do linux com máquinas winddows, pois o caminho que ele da ja da para perceber né ;)

engos
(usa openSUSE)

Enviado em 15/04/2008 - 09:59h

Instala o anti-vírus AVG que ele procura e mata esse vírus, tanto no Linux quanto no Windows.

Possivelmente ele vem de alguma estação, já que ele é para W32, mas não descarto dele está no servidor também, pois é praxe eles instalarem o vírus no servidor Linux para ele disponibilizar para as estações Windows.


Agora Debian como distro para proxy é uma escolha bem infeliz, pois muitos bugs podem ser explorados e a versão estável sempre tem pacotes muitos desatualizados, e as demais travam e apresentam, problemas de tempos em tempos, por isso se o vírus estiver no Linux as chances de ter sido uma exploração de bug conhecido do kernel ou algum outro programa/biblioteca padrão (ftp, ssh, sendmail...) é muito maior do que a do Xorg.

Para remover o Xorg use:
aptitude remove xserver-xorg

kakau.rios
(usa Kurumin)

Enviado em 15/04/2008 - 10:24h

Mas é meu servidor Debian Etch que está infectado?????? Como verificar a existência dele em meu host? Tem algum aplicativo para varrer a máquina? Mas se o linux é imune a essas pragas como foi detectado pela equipe de segurança da rede?
ou é um virus que se espalha pela rede usando o gatway!

maran
(usa Debian)

Enviado em 15/04/2008 - 10:28h

ele é um virus para windows, mas que infecta seu servidor... como eles descobriram?????

ele devem ter uma solução de serviço SMB ou outra que comuniquem diretamente maquinas win com maquinas linux/unix, onde a chance de se contrair um virus do cliente win é muito grande, normalmente se usam anti-virus junt com os programas que oferecem esta solucao

existe para linix o antivirus clamav, avg, pode-se usar scripts de varredura, etc

thudojorge
(usa Debian)

Enviado em 15/04/2008 - 10:29h

Alo!

No que conserne a remocao do xorg, eu acho que vc podia mante-lo em seu server, simplesmente manipular o deamon responsavel pelo xserver de modo que ele so arranque em um certo runlevel.
Em poucas palavras, deixe o daemon gdm(graphical display maneger), somente no rulevel 5 e edite o seu ficheiro /etc/inittab de forma a que o seu OS pare no run level 3.

mao na massa!!!

nota: antes de manipular os daemons voce tem de certificar-se que eles nao estao em nenhum runlevel

update-rc.d -f gdm remove --> removendo o gdm de todos runlevels

update-rc.d gdm start 99 5 . stop 1 0 1 2 3 6 . --> atirando o daemon gdm para o runlevel 5

agora so lhe resta ir ao ficheiro /etc/inittab e editar a linha que diz
# The default runlevel.
id:5:initdefault:
caso esteja com esse valor 5, entao substitua para 3

depois faca restart

dessa forma vc tera o ambiente grafico so quando necessario, bastando executar init 5 ou invoke-rc.d gdm start

[]'s

Thiago Madella
(usa Fedora)

Enviado em 15/04/2008 - 10:54h

instala o AVG e executeo.

engos
(usa openSUSE)

Enviado em 15/04/2008 - 11:02h

O AVG tem versão para Linux, com ele você detecta esse virus, pelo que pesquisei no google rapidamente.


A equipe detectou um virus de Windows, que provavelmente está em ao menos uma estação, mas isso não significa que esteja apenas nela(s), pode estar também em seu servidor. Ele é detectado analisando o que está sendo trafegado na entrada/saida de dados do seu servidor, ou diretamente pelos arquivos via rede (no seu caso o samba).


Muitos dos servidores infectados por virus SÃO LINUX! Acontece que no servidor em si praticamente nada acontece, já que eles são para Windows, mas de alguma forma eles conseguem se espalhar como spam e infectam as máquinas Windows. Infelizmente nas reportagens que li a respeito nenhuma dizia como eles conseguem isso... :(


O Linux NÃO é imune a nenhum tipo de malware, deixem (porque não é só você) de pensarem nessa besteira... Acontece que se o virus for para Windows o servidor Linux "apenas" espalha, enquanto se o virus fosse para Linux ele seria afetado, tendo problemas de acordo com o usuário com o qual ele conseguiu se infiltrar (por isso que também nunca se usa o root a não ser quando realmente precisa). Mas como virus para Linux é raro o pessoal fala que ele é imune, não sendo. Sem contar que o pessoal descarta que nele pode conter virus de Windows, já que ele é insignificante no Linux. Isso sem contar outros malwares como spam.


Agora sobre o virus em si não sei lhe dizer porque não conheço esse em questão, o que estou lhe dizendo é o que acontece de forma genérica e pode ser que seu caso seja apenas uma estação ou um falso positivo (erro da equipe de detecção), por isso você tem que instalar um anti-virus e testar primeiramente no servidor e depois de estação a estação.

Você pode entrar em contato com a equipe de detecção e pedi para eles lhe informarem como conseguiram detectar isso, assim você faz o mesmo procedimento no servidor e deve conseguir localizar o virus de forma bem mais simples, mesmo se ele for em estação.

crow
(usa Debian)

Enviado em 16/04/2008 - 14:39h

Um viru para windows roda so no windows.
Pode ate ser um virus multiplataformas.
Isto quer disser que ele foi feito com ferramentas GNU.
Para pegar um virus para linux voce deve ter arastado a bundinha na internet e pegando icones bunitinho barras de ferramentas programas etc.
Quantos ja viram esta frase ..
Installar e bem facil voce coloca em tmp dai e so dar um "make" e "make install" dai falando em dar voce foi o primeiro.
Sei la virus no linux e muito raro.
O negosio de buffer overflow uma epoca era conhesido.Mais nao queria disser que era um ataque
como o linux esta em constante desenvolvimento as veses pode ser um erro de programadores.Normalmente os virus sao em assembler.Mais tem gente que passa um tempao fazendo um joguinho bem legal e colocar de graça na internet so para chegar a seus fins.Entao nada me surprende