Történt már meg valakivel hogy Linuxra vírust kapott? Mik a tapasztalatok? Ha megtörtént akkor kinek milyen disztibúciót fertőztek meg?

Elméletben előfordulgat, de a gyakorlatban szervereket szoktak megcélozni.

Ha érdekel egy Linux elleni támadás, akkor az XZ vulnerability-nek utána nézhetsz, ez viszonylag friss

Egy rendszergazda ismerősömnek sikerült eljátszania, hogy péntek délután feldobott egy Debiant egy céges szerverre, csinált rajta egy felhasználó valami ilyen átlagos névvel, hogy "user" vagy nem is tudom, micsoda, és olyan jelszót adott neki, hogy 12345, majd bekapcsolta az ssh szervert. Gondolta, majd hétfőn befejezi a konfigurálást.

Mire ment vissza hétfőn, vírusos lett a gép.

A mi egyik szerverünkre is felkerült egy vírus, ott az történt, hogy volt egy külsős cég, akinek volt jogosultsága belépni a szerverre, és ellopták az ssh kulcsait. Ők szóltak, hogy nézzük már meg, nem léptek-e be furcsa IP címről a szerverre, mert náluk incidens volt. Megnéztük, Dél-Koreai IP címről léptek be az ő kulcsukkal.

Valamint egyszer egy Linuxos csoportba tette fel egy ember, hogy vírusos lett a Linux Mintje.

Nekem egy kis VPS-en Ubuntu vagy Debian volt.

Csak azt vettem észre, hogy mindig 100% a CPU. Pedig alig volt bármi terhelés.

Gyorsan megtaláltm egy háttérben futó kriptobányász process futott. Csak én voltam ez egyedüli felhsználója vagy rendszergazdája. Még alkalmazás is alig futott rajta. De az is lehet csak SSH volt rajta semmi más. Nem tudtam kideríteni hogyan került rá.

Bár ez inkább nem vírus, hanem valami automatizált vagy manuális támadás eredménye, valamilyen sérülékenységet kihasználva.

6

Ha kiengetsz az internetre egy szervert, akkor shh jelszó tippeléses botok fognak rámenni. A rootot nem szabad hagyni, hogy ssh-n be tudjon logolni (vagy csak kulcsos belépést szabad engedni, esetleg valamilyen nagyon hosszú, bonyolult jelszó kell neki). De már azzal is nyersz valamit, ha másik portra teszed a default 22-esről, bár ez ugye port scanner kideríthető.

7:

Nem tudom akkor így volt, de nagyrészt más portra szoktam az SSH-t. És alapból már felteszem a fail2bant... Úgyhogy pár próbálkozás, és progresszíven bannolva van az adott IP.

De már ezt is továbfejleszettetm, egy pofon egyszerű 3 soros szkripttel :D Ha van webszerver is a gépen, egy csak általam ismert kis URL-t meg kell hívni (még lehetne fokozni egy jelszóval). Az pár perc időtartamra beteszi a tűzfalba hogy a SSH port nyitva legyen. (A pár perc letelte a már élő session-t nem zárja, tehát utána bármeddig él az SSH kapcsolat ha sikerült belépni.)... Na így tapogassa ki valaki hol az SSH port, és még próbálgasson is jelszavakat... ha nem éppen abban a pár percben próbálkozik. :D :D :D

6

Még linuxon sem elég erős jelszó az 1234 ...

A vpn csak egy cső. A túlvégéről bármi bee tud folyni. Vírus is.

9: VPN-ről egy szót sem írtam...

De egyébként persze.

De nem 1234 volt a jelszó :D :D Annál azért sokkal-sokkal erősebb :D