Virus para linux

Surfaz Gemon Meme surfaz28 en gmail.com
Vie Mar 27 22:29:53 GMT 2009


El 27 de marzo de 2009 10:15, David <dreyesg79 en yahoo.es> escribió:

> El gusano que teje 'psyb0t' no tiene como objetivo los ordenadores
> personales o servidores.


Gusano =! virus....


> El binario ni tan siquiera está compilado para
> la omnipresente arquitectura x86.


Es decir, que esto no afecta al 90% de los ordenadores de escritorio con
GNU/Linux.

Me atrevería a afirmar que mas o menos, el 98.9% de los ordenadores que usan
GNU/Linux usan la arquitectura x86 o la x64.... es decir, no nos afecta.

Su foco de infección se encuentra en
> los routers y modems ADSL con Linux y procesador MIPS.


Estoo... demasiado localizado, no? Además... ¿cuantos routers/modes conoces
que lleven Linux de serie..? No digo que no existan (ya quisiera uno para mi
xD ) pero no son nada comunes respecto a los demás.


> El gusano efectúa
> un barrido por rangos de IP escaneando los puertos 22, 23 y el 80,
> buscando una vulnerabilidad que expone la administración remota del
> dispositivo a través de telnet, ssh e interfaz web inclusive con los
> permisos por defecto. Si la configuración ha sido modificada, lo
> intentará por fuerza bruta.


No es normal que el puerto 22 y 23 esten activados por defecto ya que son un
potencial riesgo de seguridad, con gusanos circulando por la red o sin
ellos.

Respecto a lo de la vulnerabilidad... si existe alguna lo mejor que se puede
hacer es actualizar el kernel linux que si en algo destaca linux es en la
frecuencia de actualizaciones corrigiendo vulnerabilidades, uno de los
motivos por los que se dice que tan seguro.

Luego, lo recomendable en cualquier sistema informático (ya sea Linux, Mac o
Windows) es NUNCA dejar la configuración por defecto.

Y respecto a el uso de fuerza bruta..... ejem.... que el probre gusanito
espere sentado a ver si lo consigue.... xD

Tras obtener una shell con permisos de administrador borra el archivo
> '/var/tmp/udhcpc.env' que pertenece al cliente DHCP y comprueba la
> existencia del comando wget para efectuar la descarga de una réplica
> del gusano con el mismo nombre y ruta que el archivo borrado.


De aquí se deduce que primero tiene que escalar permisos hasta ser
administrador (root).... eso es muuuuuy dificil (por no decir casi
imposible) si mantienes tu sistema actualizado.


> Varios son los factores que no pasaron por
> alto los creadores de 'psyb0t', un vector fácil, contraseñas por defecto
> y exposición de la administración remota, una presa descuidada, como un
> olvidado router con el que no se interactúa y se mantiene encendido las
> 24 horas, y sobre todo el silencio: ¿Cuándo fue la última vez que
> monitorizaste el tráfico del router?
>

Algunas veces, aunque pongas un sistema muy seguro al usuario si este hace
caso omiso de las recomendaciones y no hace uso del sentido común... es como
intentar enseñar a conducir a alguien que esta mirando las nubes. No sé si
me explico...
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ubuntu.com/archives/ubuntu-es/attachments/20090327/d74b1ed5/attachment.htm 


Más información sobre la lista de distribución ubuntu-es