Como eu protejo uma instalação do Apache (no LAMP) no backdoor do Apache Linux / Cdorked.A?

2

Assim como o título pergunta, o que posso fazer para me proteger contra a infecção pela backdoor do Apache Linux / Cdorked.A?

    
por Don Rhummy 30.04.2013 / 20:21

2 respostas

2

para verificar se você está comprometido:

strings /path/to/httpd | egrep open_tty

se o grep retornar QUALQUER linha, você estará comprometido.

parece que o modo de quebra é via força bruta ssh. Portanto, as melhores práticas para proteger o seu servidor são: desabilitar a conta root, usar sudo e desabilitar QUALQUER usuário que tenha / bin / bash login, e impor boas senhas ou nenhuma senha e usar chaves ssh.

    
por 30.04.2013 / 23:03
1

Como Marcel diz que uma boa política de senha é obrigatória em qualquer caso.

ssh keys é uma ideia fantástica, (e) desabilitar o login por senha no sshd também é ótimo, mas muitas vezes não é prático.

veja: ssh-copy-id (ou você pode fazer isso manualmente) FWIW Configurei pares de chaves diferentes para quase todas as contas.

Considere também um software de detecção como o rkhunter, o chkrootkit ou algumas outras ferramentas do tipo "tripwire".

Finalmente, execute ferramentas de monitoramento como monit. (muitos outros)

Essas ferramentas podem ser configuradas para verificar a maioria dos arquivos e gritar alterações nos tamanhos das permissões, etc. etc.

Algumas referências rapidamente pesquisadas:

link

link

    
por 01.05.2013 / 09:19