Como me proteger e ou detectar ameaças?

feeble · 10 de Maio de 2013, 02:16

Olá!

Estou escrevendo esse pequeno tópico para obter algumas dicas na área de segurança do sistema:

Como saber se alguém se conectou a meu computador e como proceder?

Como detectar arquivos indesejáveis como rootkits e como proceder?

Pop-up's que abrem automaticamente em determinados sites podem danificar o Ubuntu com arquivos indesejáveis como no Windows?

Espero que eu possa obter dicas valiosas aqui para no mínimo saber se está tudo certo no sistema, sem que nada esteja capturando informações ou coisas do tipo.

Resolvi criar esse tópico por que andei acessando a Dark Net, e pelo que ouvi falar, lá é um lugar onde iniciantes estão mais para a caça do que para caçador, como sei que por lá também há alguns cracker's que as vezes se conectam com alguns computadores simplesmente para ver o que a pessoa está fazendo por lá, se acessou camadas mais profundas ou não, ou até mesmo, para pegar informações ou roubar BTC's... Então eu resolvi criar esse tópico para pegar algumas dicas de segurança.

Lá há muitos fóruns para se aprender sobre UNIX, alguns pagos outros não, a Dark Net é um bom lugar para se aprender bastante sobre UNIX(infelizmente todos os fóruns que consegui acessar eram pagos, no valor de 1 BTC por hora).

adiaswin · 10 de Maio de 2013, 07:13

ola

se acessou a deep web bem provavelmente deveria estar com o firewall o ufw ativado para maior segurança

bem virus para o windows não podem danificar o linux tambem não ha nessesidade de instalar um anti-virus

apenas habilitar o ufw.

jkmsjq · 10 de Maio de 2013, 07:54

Para quê acessar a dark net ou deep web para aprender a respeito de GNU/Linux se o que mais existe é material a respeito desse assunto no Google?

Os fórum das distros GNU/Linux são bastante acessados, tanto em portugues, como o fórum do Ubuntu, quanto em inglês...

Existe o canal IRQ onde o interessado pode se cadastrar e conversar ou obter informações diretamente com os desenvolvedores dos sistema operacionais...

Apostilas de excelente qualidade também são encotradas na web, tanto de graça, como o Guia Foca quanto pagas. Basta apenas dar uma pesquisada no Google...

Acessar a deep web é se dispor a um risco sem necessidade com argumentos não convincentes, mas cada um sabe (ou deveria saber) o que faz.

P.S.: aí quando dá um problema pequeno ou sério (porque a deep web é monitorada por governos nacionais e internacionais avaliando comportamento de terroristas) vão culpar o GNU/Linux.

zekkerj · 10 de Maio de 2013, 09:36

CitarComo saber se alguém se conectou a meu computador e como proceder?

ScriptKiddyes são fáceis de encontrar e detectar. São como touros em lojas de louça.
O procedimento é simples: desconecte-se da web e eles ficam sem ação.

Um hacker profissional provavelmente não vai querer ser detectado, portanto vai ser mais meticuloso na invasão. Desconectando-se da web, você também o anula, mas é mais provável que ele consiga retornar quando você se reconectar, mesmo pegando um ip diferente.

CitarComo detectar arquivos indesejáveis como rootkits e como proceder?

Informe-se sobre o programa RKHunter.

CitarPop-up's que abrem automaticamente em determinados sites podem danificar o Ubuntu com arquivos indesejáveis como no Windows?

Não. A menos, claro, que você seja idiota o suficiente pra navegar nesses sites com seu sistema desatualizado, ou um navegador vulnerável, ou vulnerabilizado por plugins desatualizados (e.g. Flash Player e Java).

No mais, concordo com o que o jkmsjq disse; sou da opinião de que quem quer correr, deve primeiro aprender a andar. Antes de se aventurar a aprender nessas fontes, você deve aprender sobre o sistema que usa.

asghan · 10 de Maio de 2013, 10:22

Sugiro dar uma pesquisada sobre a distro Tails. Boa sorte ....

jkmsjq · 10 de Maio de 2013, 11:43

Citação de: asghan online 10 de Maio de 2013, 10:22
Sugiro dar uma pesquisada sobre a distro Tails. Boa sorte ....

Outra sugestão: instala uma distro GNU/Linux de sua preferência. Instale uma máquina virtual (exemplo Virtual Box). Instale pelo virtual box outra distro GNU/Linux, e por meio dela você acessa a deep web, como o zekkerj recomendou, sem a instalação do flash ou java. E se quiser melhorar a segurança da sua rede, tente acessar a internet via um modem de internet móvel.

zekkerj · 10 de Maio de 2013, 13:04

Citar... e por meio dela você acessa a deep web, como o zekkerj recomendou, sem a instalação do flash ou java. ...

Eu recomendei isso?

Eliseu Carvalho · 10 de Maio de 2013, 13:08

Cara, na boa... Não acessa a Deep Web. Por mais que hajam inúmeros procedimentos de segurança, tais como firewall e afins, nada disso é suficiente. Na Deep Web está a pior laia de crackers do planeta e eles podem fazer de tudo, mas tudo mesmo, pra descobrir (e destruir) toda a sua vida. E isso será uma dor de cabeça tenebrosa.

feeble · 10 de Maio de 2013, 18:01

Ok... Não é preciso acessar a Dark Net para aprender utilidades emocionantes no UNIX? A questão é que se eu fizesse algum tópico perguntando com me conectar a computador de terceiros, ou coisas do tipo, os moralistas cairiam em peso sobre me tópico, alegando que isso não é certo e coisa e tal, e ainda por cima sairiam sendo aplaudidos por sua incrível "fibra moral" -.-

Não se acha coisas interessantes na surface para se fazer com o linux(ninguém quer pessoas acessando conteúdos que possam ser ofensivos) sinto muito!

Mas obrigado pelas respostas que me foram uteis. O RKHunter é um bom programa!

Utilizei o Live CD do Tails quando acessei e quando acesso, mas não confio muito não, o tails pode eliminar rastros, mas eles tem ferramentas poderosas e sabem que por mais formas de segurança que o sistema Tails ofereça, eu creio que(pode ser que seja bobagem minha) eles consigam mapear a rede, e assim obter informações mesmo após o cd do tails ter sido ejetado.

Lá também há vendas de ferramnetas para UNIX, como por exemplo o Aircrack-ng, mas para funções derivadas, como para invasão a servidores e tudo mais porém são informações pagas em BTC's

zekkerj · 10 de Maio de 2013, 18:35

Cara, volto a te dizer... antes de querer correr, aprenda a andar. Ninguém aprende a nadar pulando no meio do oceano, e sim batendo braço no raso.

O simples fato de você não conhecer as ferramentas básicas de defesa do sistema que está usando já diz que você vai durar pouco tempo quando estiver no meio das feras.

feeble · 12 de Maio de 2013, 00:20

O programa detectou um arquivo em estado "warning" com o nome "/usr/bin/unhide.rb". Esse arquivo em ruby oferece algum perigo?

Citar
# rkhunter --check
[ Rootkit Hunter version 1.3.8 ]

Checking system commands...

Performing 'strings' command checks
Checking 'strings' command [ OK ]

Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]

Performing file properties checks
Checking for prerequisites [ Warning ]
/usr/sbin/adduser [ OK ]
/usr/sbin/chroot [ OK ]
/usr/sbin/cron [ OK ]
/usr/sbin/groupadd [ OK ]
/usr/sbin/groupdel [ OK ]
/usr/sbin/groupmod [ OK ]
/usr/sbin/grpck [ OK ]
/usr/sbin/nologin [ OK ]
/usr/sbin/pwck [ OK ]
/usr/sbin/rsyslogd [ OK ]
/usr/sbin/tcpd [ OK ]
/usr/sbin/useradd [ OK ]
/usr/sbin/userdel [ OK ]
/usr/sbin/usermod [ OK ]
/usr/sbin/vipw [ OK ]
/usr/bin/awk [ OK ]
/usr/bin/basename [ OK ]
/usr/bin/chattr [ OK ]
/usr/bin/cut [ OK ]
/usr/bin/diff [ OK ]
/usr/bin/dirname [ OK ]
/usr/bin/dpkg [ OK ]
/usr/bin/dpkg-query [ OK ]
/usr/bin/du [ OK ]
/usr/bin/env [ OK ]
/usr/bin/file [ OK ]
/usr/bin/find [ OK ]
/usr/bin/groups [ OK ]
/usr/bin/head [ OK ]
/usr/bin/id [ OK ]
/usr/bin/killall [ OK ]
/usr/bin/last [ OK ]
/usr/bin/lastlog [ OK ]
/usr/bin/ldd [ OK ]
/usr/bin/less [ OK ]
/usr/bin/locate [ OK ]
/usr/bin/logger [ OK ]
/usr/bin/lsattr [ OK ]
/usr/bin/lsof [ OK ]
/usr/bin/md5sum [ OK ]
/usr/bin/mlocate [ OK ]
/usr/bin/newgrp [ OK ]
/usr/bin/passwd [ OK ]
/usr/bin/perl [ OK ]
/usr/bin/pgrep [ OK ]
/usr/bin/pstree [ OK ]
/usr/bin/rkhunter [ OK ]
/usr/bin/runcon [ OK ]
/usr/bin/sha1sum [ OK ]
/usr/bin/sha224sum [ OK ]
/usr/bin/sha256sum [ OK ]
/usr/bin/sha384sum [ OK ]
/usr/bin/sha512sum [ OK ]
/usr/bin/size [ OK ]
/usr/bin/sort [ OK ]
/usr/bin/stat [ OK ]
/usr/bin/strace [ OK ]
/usr/bin/strings [ OK ]
/usr/bin/sudo [ OK ]
/usr/bin/tail [ OK ]
/usr/bin/test [ OK ]
/usr/bin/top [ OK ]
/usr/bin/touch [ OK ]
/usr/bin/tr [ OK ]
/usr/bin/uniq [ OK ]
/usr/bin/users [ OK ]
/usr/bin/vmstat [ OK ]
/usr/bin/w [ OK ]
/usr/bin/watch [ OK ]
/usr/bin/wc [ OK ]
/usr/bin/wget [ OK ]
/usr/bin/whatis [ OK ]
/usr/bin/whereis [ OK ]
/usr/bin/which [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
/usr/bin/unhide.rb [ Warning ]
/usr/bin/mawk [ OK ]
/usr/bin/w.procps [ OK ]
/sbin/depmod [ OK ]
/sbin/fsck [ OK ]
/sbin/ifconfig [ OK ]
/sbin/ifdown [ OK ]
/sbin/ifup [ OK ]
/sbin/init [ OK ]
/sbin/insmod [ OK ]
/sbin/ip [ OK ]
/sbin/lsmod [ OK ]
/sbin/modinfo [ OK ]
/sbin/modprobe [ OK ]
/sbin/rmmod [ OK ]
/sbin/route [ OK ]
/sbin/runlevel [ OK ]
/sbin/sulogin [ OK ]
/sbin/sysctl [ OK ]
/bin/bash [ OK ]
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/cp [ OK ]
/bin/date [ OK ]
/bin/df [ OK ]
/bin/dmesg [ OK ]
/bin/echo [ OK ]
/bin/ed [ OK ]
/bin/egrep [ OK ]
/bin/fgrep [ OK ]
/bin/fuser [ OK ]
/bin/grep [ OK ]
/bin/ip [ OK ]
/bin/kill [ OK ]
/bin/less [ OK ]
/bin/login [ OK ]
/bin/ls [ OK ]
/bin/lsmod [ OK ]
/bin/mktemp [ OK ]
/bin/more [ OK ]
/bin/mount [ OK ]
/bin/mv [ OK ]
/bin/netstat [ OK ]
/bin/ps [ OK ]
/bin/pwd [ OK ]
/bin/readlink [ OK ]
/bin/sed [ OK ]
/bin/sh [ OK ]
/bin/su [ OK ]
/bin/touch [ OK ]
/bin/uname [ OK ]
/bin/which [ OK ]
/bin/dash [ OK ]

[Press <ENTER> to continue]

Checking for rootkits...

Performing check of known rootkit files and directories
55808 Trojan - Variant A [ Not found ]
ADM Worm [ Not found ]
AjaKit Rootkit [ Not found ]
Adore Rootkit [ Not found ]
aPa Kit [ Not found ]
Apache Worm [ Not found ]
Ambient (ark) Rootkit [ Not found ]
Balaur Rootkit [ Not found ]
BeastKit Rootkit [ Not found ]
beX2 Rootkit [ Not found ]
BOBKit Rootkit [ Not found ]
cb Rootkit [ Not found ]
CiNIK Worm (Slapper.B variant) [ Not found ]
Danny-Boy's Abuse Kit [ Not found ]
Devil RootKit [ Not found ]
Dica-Kit Rootkit [ Not found ]
Dreams Rootkit [ Not found ]
Duarawkz Rootkit [ Not found ]
Enye LKM [ Not found ]
Flea Linux Rootkit [ Not found ]
FreeBSD Rootkit [ Not found ]
Fu Rootkit [ Not found ]
Fuck`it Rootkit [ Not found ]
GasKit Rootkit [ Not found ]
Heroin LKM [ Not found ]
HjC Kit [ Not found ]
ignoKit Rootkit [ Not found ]
iLLogiC Rootkit [ Not found ]
IntoXonia-NG Rootkit [ Not found ]
Irix Rootkit [ Not found ]
Kitko Rootkit [ Not found ]
Knark Rootkit [ Not found ]
ld-linuxv.so Rootkit [ Not found ]
Li0n Worm [ Not found ]
Lockit / LJK2 Rootkit [ Not found ]
Mood-NT Rootkit [ Not found ]
MRK Rootkit [ Not found ]
Ni0 Rootkit [ Not found ]
Ohhara Rootkit [ Not found ]
Optic Kit (Tux) Worm [ Not found ]
Oz Rootkit [ Not found ]
Phalanx Rootkit [ Not found ]
Phalanx2 Rootkit [ Not found ]
Phalanx2 Rootkit (extended tests) [ Not found ]
Portacelo Rootkit [ Not found ]
R3dstorm Toolkit [ Not found ]
RH-Sharpe's Rootkit [ Not found ]
RSHA's Rootkit [ Not found ]
Scalper Worm [ Not found ]
Sebek LKM [ Not found ]
Shutdown Rootkit [ Not found ]
SHV4 Rootkit [ Not found ]
SHV5 Rootkit [ Not found ]
Sin Rootkit [ Not found ]
Slapper Worm [ Not found ]
Sneakin Rootkit [ Not found ]
'Spanish' Rootkit [ Not found ]
Suckit Rootkit [ Not found ]
SunOS Rootkit [ Not found ]
SunOS / NSDAP Rootkit [ Not found ]
Superkit Rootkit [ Not found ]
TBD (Telnet BackDoor) [ Not found ]
TeLeKiT Rootkit [ Not found ]
T0rn Rootkit [ Not found ]
trNkit Rootkit [ Not found ]
Trojanit Kit [ Not found ]
Tuxtendo Rootkit [ Not found ]
URK Rootkit [ Not found ]
Vampire Rootkit [ Not found ]
VcKit Rootkit [ Not found ]
Volc Rootkit [ Not found ]
Xzibit Rootkit [ Not found ]
X-Org SunOS Rootkit [ Not found ]
zaRwT.KiT Rootkit [ Not found ]
ZK Rootkit [ Not found ]

Performing additional rootkit checks
Suckit Rookit additional checks [ OK ]
Checking for possible rootkit files and directories [ None found ]
Checking for possible rootkit strings [ None found ]

Performing malware checks
Checking running processes for suspicious files [ None found ]
Checking for login backdoors [ None found ]
Checking for suspicious directories [ None found ]
Checking for sniffer log files [ None found ]

Performing Linux specific checks
Checking loaded kernel modules [ OK ]
Checking kernel module names [ OK ]

[Press <ENTER> to continue]

Checking the network...

Performing checks on the network ports
Checking for backdoor ports [ None found ]
Checking for hidden ports [ Skipped ]

Performing checks on the network interfaces
Checking for promiscuous interfaces [ None found ]

Checking the local host...

Performing system boot checks
Checking for local host name [ Found ]
Checking for system startup files [ Found ]
Checking system startup files for malware [ None found ]

Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ None found ]
Checking root account shell history files [ OK ]

Performing system configuration file checks
Checking for SSH configuration file [ Not found ]
Checking for running syslog daemon [ Found ]
Checking for syslog configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]

Performing filesystem checks
Checking /dev for suspicious file types [ None found ]
Checking for hidden files and directories [ Warning ]

[Press <ENTER> to continue]

System checks summary
=====================

File properties checks...
Required commands check failed
Files checked: 130
Suspect files: 1

Rootkit checks...
Rootkits checked : 242
Possible rootkits: 0

Applications checks...
All checks skipped

The system checks took: 1 minute and 57 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Como me proteger e ou detectar ameaças?

Eliseu Carvalho