Assim como o título pergunta, o que posso fazer para me proteger contra a infecção pela backdoor do Apache Linux / Cdorked.A?
para verificar se você está comprometido:
strings /path/to/httpd | egrep open_tty
se o grep retornar QUALQUER linha, você estará comprometido.
parece que o modo de quebra é via força bruta ssh. Portanto, as melhores práticas para proteger o seu servidor são: desabilitar a conta root, usar sudo e desabilitar QUALQUER usuário que tenha / bin / bash login, e impor boas senhas ou nenhuma senha e usar chaves ssh.
Como Marcel diz que uma boa política de senha é obrigatória em qualquer caso.
ssh keys é uma ideia fantástica, (e) desabilitar o login por senha no sshd também é ótimo, mas muitas vezes não é prático.
veja: ssh-copy-id (ou você pode fazer isso manualmente) FWIW Configurei pares de chaves diferentes para quase todas as contas.
Considere também um software de detecção como o rkhunter, o chkrootkit ou algumas outras ferramentas do tipo "tripwire".
Finalmente, execute ferramentas de monitoramento como monit. (muitos outros)
Essas ferramentas podem ser configuradas para verificar a maioria dos arquivos e gritar alterações nos tamanhos das permissões, etc. etc.
Algumas referências rapidamente pesquisadas: