Galera, venho atráves desde lhes comunicar uma experiência que me fora relatada hoje por um amigo meu e que me causou um certo medo.
Pois bem, um amigo meu me contou hoje sobre uma invasão que recem fizeram à um servidor deles. O servidor roda Debian 3.1 com todas as atualizações em dia.
Detalhes da invasão:
Percevendo que ao tentar executar qualquer comando do shell como por exemplo ls, cd, e etc acontecia um erro do tipo segmentation fault. Achando estranho isso, meu amigo decidiu averiguar pois era um servidor de testes e que iria para a produção.
Sem descobrir nada o motivo, ele resolve averiguar nos logs. E eis o espanto. Diversos acessos foram feitos na máquina utilizando o ssh com conta de root. Detalhe: a senha possuia 13 digitos
Os bastidores:
A invasão se deu pelo fato da instalação de algum pacote Debian infectado (que ainda não sabemos qual) que monitorava os comandos digitados no shell, com isso o hacker conseguiu seu primeiro sucesso, invadir uma conta não privilegiada. Apartir do momento que alguem logou com a senha do root, o bendito script (vírus ou sei lá) capturou a senha e enviou para o invasor, com isso ele acessou a máquina e liberou o acesso via ssh direto a conta de root.
Em seguida habilitou um serviço de smtp na máquina (acho que ele queria disseminar spam) e tb a porta 7000.
Depois começou a vasculhar os arquivos do servidor. Como era um servidor web, o danado abriu os fontes dos arquivos e achou a senha do servidor mysql remoto.
Ele tentou uma série de invasões inserindo scripts em pearl no servidor mysql. A sorte foi que em nehuma das tentativas de invasão ao mysql foi bem sucedida, porem ele já possuia informações demais para manipular toda a infra-estrutura da máquina.
A solução foi formatar a máquina e liberar o acesso ao shell somente a um determinado ip.
Agora lhes faço a pergunta que me deixou indignado e com medo.
Quem nos garante a integridade dos pacotes que estão disponíveis no Debian atráves do apt-get?
Pelo que eu sei, qualquer um pode desenvolver seus pacotes e coloca-los disponíveis para download através do apt-get sem que haja nenhuma verificação disso.
Estou indignado, pois pensei que tinha achado uma ótima distribuição.
Estou voltando para o slackware que ainda considero seguro e leve.
Fica aqui o alerta aos senhores adminstradores de sistemas que tanto penam assim como eu para manter a segurança dos mesmos.