Linux-phalax, ¿primer troyano de Linux?

Imagen de fernando-eguia-mx
26 puntos

Leía en algún lugar sobre "el primer troyano para Linux", llamado "linux-phalax". Según esta información (http://tuxazteca.wordpress.com/) , se trata de un virus que se propaga a través de sitios infectados, aunque no se especifica cuales son esos sitios.

Una vez que está en el sistema, funciona como un rootkit y copia varios archivos, se encubre bajo algunas funciones de administración para después conectarse a un sistema remoto, especificado por el atacante.

La noticia apareció apenas este pasado 5 de agosto desde Symantec (http://www.symantec.com/security_response/writeup.jsp?docid=2008-080515-...).

¿Qué opinan? ¿Deberíamos preocuparnos por esto?

Imagen de Morpheus 0
+1
0
-1

Aparentemente es una falsa alarma, exagerada por symantec:

http://www.lastdragon.net/?p=280

+1
0
-1
Imagen de leptom
+1
0
-1

¿sueles moverte con el usuario root? o con privilegios de administrador?
Si la respuesta es no... phalax no tiene nada que hacer en tu sistema porque en esos directorios solo pueden ser creados con un usuario con privilegios.

En la misma página que mencionas ponen "Risk Level 1: Very low", traducido... "casi na' de riesgo".

Esta separación de privilegios hace que la propagación de un virus en linux sea mas difícil que en otros SO. Aunque hablando de seguridad todo es posible :)

Yo personalmente no me preocuparía.

-----

No tengo blog pero tengo dominio ;)

+1
0
-1
Imagen de Argel
+1
0
-1

¿Y qué pasa cuando uno está realizando tareas de administración?... ya sea instalar o desinstalar programas mediante synaptic, por ejemplo, o cuando das la orden "sudo aptitude clean", ¿estaría uno expuesto a este tipo de amenazas por el tiempo que duran estas tareas?

Saludos.

--------------------------------------------------------

Argel.

Ubuntu user number: 20414

Linux user number: 463492

+1
0
-1

--------------------------------------------------------

Argel.

Ubuntu user number: 20414

Linux user number: 463492

Imagen de fernando-eguia-mx
+1
0
-1

Como dijo un compañero, si te sabes mover como usuario root o con privilegios de administrador, no hay que volverse paranoicos con eso, y máxime si tienes un cortafuegos que sabes usar. Aquí, el problema está en instalar un paquete DEB de dudosa procedencia, por ejemplo.

Otra cosa más, navegar el internet como root es hacerla de kamikaze: te puede entrar alguna cosa como ese tal linux-phalax...


El mensaje dpkg was interrupted, you must manually run 'dpkg --configure -a' to correct the problem, significa dpkg se ha interrumpido, necesitas ejecutar manualmente 'dpkg --configure -a' para corregir el problema. Abre una terminal y ejecuta sudo dpkg --configure -a
+1
0
-1
Imagen de Argel
+1
0
-1

¿Entonces es mejor usar por ejemplo firestarter para modificar la configuración del cortafuegos que viene por default en ubuntu? ¿no es suficiente la configuración original para evitar estos posibles problemas de ataques?

Gracias de antemano por la información.

Saludos.

--------------------------------------------------------

Argel.

Ubuntu user number: 20414

Linux user number: 463492

+1
0
-1

--------------------------------------------------------

Argel.

Ubuntu user number: 20414

Linux user number: 463492

Imagen de leptom
+1
0
-1

Si los repositorios son los oficiales no deberías preocuparte porque de ahí te debe llegar todo limpio (han habido casos de hackeo de los repositorios de debian pero bueno, pero tampoco hay que ser alarmistas).

Cuando ejecutas synaptic estás ejecutando synaptic con permisos de adminstrador, no firefox o openoffice o ... por lo que tampoco hay peligro.

-----

No tengo blog pero tengo dominio ;)

+1
0
-1
Imagen de Argel
+1
0
-1

Es bueno saberlo, muchas gracias.

¿Es lo mismo cuando ejecutas un comando con "sudo"?, es decir, he observado que al ejecutar por ejemplo "sudo aptitude clean", después de cierto tiempo todavía puedo ejecutar por ejemplo "sudo nautilus", y no me pide la contraseña... ¿esto quiere decir que se deja la puerta abierta por unos minutos después de ejecutar un comando con "sudo" la primera vez?, si esto es así, ¿podría ser susceptible de ataques si inicio FireFox mientras está la puerta abierta?

Saludos.

--------------------------------------------------------

Argel.

Ubuntu user number: 20414

Linux user number: 463492

+1
0
-1

--------------------------------------------------------

Argel.

Ubuntu user number: 20414

Linux user number: 463492

Imagen de leptom
+1
0
-1

Al ejecutar un comando con sudo (SuperUser DO) lo ejecutas con privilegios, después durante un tiempo - no recuerdo el intérvalo - no te vuelve a pedir el password, en esa misma sesión, cuando ejecutas sudo por comodidad. Pero eso no deja la puerta abierta de par en par, solo ejecuta con privilegios los comandos ejecutados con sudo.

Puedes probar en una consola que si ejecuta por ejemplo:
$ sudo mkdir test_root
$ mkdir test_sin_root
$ sudo mkdir test2_root
$ ls -l

Los directorios creados con sudo pertenecen al usuario root(ejecutado con privilegios) y el otro a tu usuario local(sin privilegios). En el segundo sudo no te pedirá password.

-----

No tengo blog pero tengo dominio ;)

+1
0
-1
Imagen de Argel
+1
0
-1

Muchas gracias por tu explicación leptom. Es bueno estar enterado de estas cosas.

Saludos.

--------------------------------------------------------

Argel.

Ubuntu user number: 20414

Linux user number: 463492

+1
0
-1

--------------------------------------------------------

Argel.

Ubuntu user number: 20414

Linux user number: 463492

Imagen de Gabriel_M
+1
0
-1

Hola Fernando:
Con esto de la lentitud del sitio, no vi tu post, agrego lo que hace. como se elimina y elimino el post mio en bien de la brevedad y la velocidad de acceso al foro.
--------------------------------------------------------------------
Linux.Phalax es el nombre del primer troyano descubierto contra Linux, el cual tiene un comportamiento de rootkit y podría ser capaz de ejecutar comandos del sistema operativo desde equipos remotos.
El troyano crea los directorios
• /usr/share/.home.ph1/
• /usr/share/.home.ph1/tty/
y los archivos
• /usr/share/.home.ph1/cb
• /etc/host.ph1/hostname
• /usr/share/.home.ph1/.phalanx
• /usr/share/.home.ph1/.sniff
Oculta su presencia al sistema e intenta conectase a un equipo remoto, previamente especificado por el atacante, el cual podrá ejecutar comandos con todos los derechos del sistema.
Para eliminar al troyano, solo es necesario eliminar los archivos y los directorios creados por el mismo.
--------------------------------------------------------------------

Saludos.


Equipo de Ubuntu-es
+1
0
-1
Imagen de ubunteacher
+1
0
-1

Hola a todos, yo creo que tengo uno de esos troyanos en ubuntu 10.10, ahora he vuelto a la partición de lucid lynx, porque en la del 10.10 se me reinician las x constantemente y ademas cuando no se reinician pongo el monitor del sistema y veo que hay mucho trafico de subida en internet. Además cuando voy al otro ordenador y me conecto al sauerbraten, tengo un ping del orden de 1000 y no puedo desarrollar la partida con normlidad hasta que apago el 10.10.

Alguien tiene una idea de como destruirlo?

O de como encontrarlo para borrarlo?

+1
0
-1
Imagen de Gonzalo Gómez Sanhueza
+1
0
-1

Eso se llama FUD, ver http://es.wikipedia.org/wiki/FUD.
Viva linux libre de basura.
Nadie va a enlodar linux, porque todos los seguidores de linux sabemos que no existen virus.
Saludos.

Gontux

+1
0
-1

Gontux

Imagen de fernando-eguia-mx
+1
0
-1

Siempre se aprende algo nuevo cada día :-)


¿Se me olvidó algo?
+1
0
-1
Imagen de bean
+1
0
-1

Con lo cuidadoso que soy,

trabajaba con REMUS para organizar (binario RIM ) y almacenar mi abundante información cibernética y cibernáutica y puse como Switch Workspace el escritorio, y con la práctica para dominar sus secretos de pronto desaparecieron todos mis íconos del mismísimo ¡¡¡ y su contenido !!!.

Luego de rascarme el coco un buen rato encontré todo en la papelera, restauré, y díjeme, habrá traído algún código malicioso o hay una mala maniobra mía.

Investigo.Y les cuento ésto porque es vez primera en mi larga vida de secuaz de Linux y de nuestro Señor Ubu que me ocurre algo parecido.

¿ Se acerca el fin de los tiempos, con este mal funcionamiento cibernético o de mi coquífero que se debe sumar a la muerte súbita de avecillas, pececillos y cefalópodos, urbi et orbi - o el descubrimiento de fernando oculta una nueva realidad de que debemos cuidarnos ?.

¿ Un fantasma recorre entonces el mundo Linux ?.

¡ UFD, qué FUD !

+1
0
-1
Imagen de danielcaraj
+1
0
-1

Si es para GNU/Linux seguro que es open source el virus ese...

(Chiste malo)
+1
0
-1

---------------------------------------------------------------------------------------------------------------------
Linux User#535363
Normas del foro