2 votos

¿Cómo puedo proteger una instalación de Apache (en LAMP) contra el backdoor Apache Linux/Cdorked.A?

Tal y como pregunta el título, ¿qué puedo hacer para protegerme de la infección por el backdoor Apache Linux/Cdorked.A?

2voto

Marcel Puntos 733

Para comprobar si está comprometido:

strings /path/to/httpd | egrep open_tty

si grep devuelve cualquier línea, estás comprometido.

parece que el modo de ruptura es mediante fuerza bruta ssh. Así que las mejores prácticas para proteger su servidor es: deshabilitar la cuenta de root, usar sudo, y deshabilitar cualquier usuario que tenga login /bin/bash, Y hacer cumplir buenas contraseñas o ninguna contraseña en absoluto y usar claves ssh.

1voto

johncrowx Puntos 239

Como dice Marcel, una buena política de contraseñas es imprescindible en cualquier caso.

Las claves ssh son una idea fantástica, (y) desactivar el inicio de sesión con contraseña en sshd también es genial, pero a menudo no es práctico.

ver: ssh-copy-id (o puedes hacerlo a mano) FWIW Yo configuro diferentes pares de claves para casi todas las cuentas.

También considere un software de detección como rkhunter , chkrootkit o algunas otras herramientas de tipo tripwire.

Por último, ejecute herramientas de monitorización como monit. (muchas otras)

Estas herramientas pueden configurarse para hacer una suma de comprobación de la mayoría de los archivos y gritar sobre las alteraciones de los tamaños, los permisos, los reinicios, etc.

Algunos buscaron rápidamente en Google a los árbitros:

http://www.debian.org/devel/passwordlessssh

http://www.cyberciti.biz/faq/howto-check-linux-rootkist-with-detectors-software/

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X