Tal y como pregunta el título, ¿qué puedo hacer para protegerme de la infección por el backdoor Apache Linux/Cdorked.A?
Respuestas
¿Demasiados anuncios?Para comprobar si está comprometido:
strings /path/to/httpd | egrep open_tty
si grep devuelve cualquier línea, estás comprometido.
parece que el modo de ruptura es mediante fuerza bruta ssh. Así que las mejores prácticas para proteger su servidor es: deshabilitar la cuenta de root, usar sudo, y deshabilitar cualquier usuario que tenga login /bin/bash, Y hacer cumplir buenas contraseñas o ninguna contraseña en absoluto y usar claves ssh.
Como dice Marcel, una buena política de contraseñas es imprescindible en cualquier caso.
Las claves ssh son una idea fantástica, (y) desactivar el inicio de sesión con contraseña en sshd también es genial, pero a menudo no es práctico.
ver: ssh-copy-id (o puedes hacerlo a mano) FWIW Yo configuro diferentes pares de claves para casi todas las cuentas.
También considere un software de detección como rkhunter , chkrootkit o algunas otras herramientas de tipo tripwire.
Por último, ejecute herramientas de monitorización como monit. (muchas otras)
Estas herramientas pueden configurarse para hacer una suma de comprobación de la mayoría de los archivos y gritar sobre las alteraciones de los tamaños, los permisos, los reinicios, etc.
Algunos buscaron rápidamente en Google a los árbitros:
http://www.debian.org/devel/passwordlessssh
http://www.cyberciti.biz/faq/howto-check-linux-rootkist-with-detectors-software/