De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.
Colaboração: Alexandro Silva
Data de Publicação: 04 de agosto de 2011
Engraçado como alguns conceitos mudam totalmente ao passar do tempo, principalmente quando alguns incidentes são os causadores destas mudanças.
Há algum tempo atrás, quando o assunto era instalar antivírus no Linux, uma névoa negra encobria minha mente e o orgulho ou seria melhor dizer a ignorância incitava-me a questionar "POR QUE?" já que o Linux é totalmente imbatível.
Isso mudou após alguns eventos que acabaram mostrando a importância de termos um antivírus instalado e uma rotina diária de checagem do sistema.
Sempre é bom lembrar que apesar de todas as medidas de segurança adotadas no sistema, nunca podemos esquecer das vulnerabilidades nas aplicações. Algumas delas permitem a inserção de arquivos maliciosos como backdoors ou bots.
Existem backdoors escritos em php, asp, jsp, etc que permitem o controle total da máquina vitima, e o uso de um antivírus é fundamental na detecção e remoção destes malwares.
Vejam alguns exemplos de malwares detectados e removidos pelo Clamav:
./xxx.xxxx.xxx.br/xxxx/xoops_lib/modules/protector/s.txt: PHP.Remoteadmin-1 FOUND ./xxx.xxx.xxx.br/xxx/xoops_lib/modules/protector/sql/index.php/.Insiderz/xh: Hacktool.Fakeproc FOUND ./xxx.xxx.xxx.br/conepir/xoops_lib/modules/protector/sql/index.php/.Insiderz/nadya: Trojan.Eggdrop-117 FOUND /xxx/xxx/xxx/xxx/xxx/xxxx/datacha0s.txt: PHP.Chaploit /xxx/xxx/xxx/xxx/.X-un1x.2: Trojan.Perl.Shellbot-2
Estes arquivos são normalmente implantados no diretório /tmp com as permissões da aplicação. Em várias situações detectei alvos infectados conectando diversos servidores IRC formando botnets que derrubavam toda a infra da empresa.
A partir dai passei a adotar uma rotina diária de checagem do diretório /tmp a cada 05 min e do diretório /var/www/ uma vez ao dia. Os resultados obtidos após estas medidas estão sendo bastantes satisfatórios.
aptitude install clamav
crontab -e */5 * * * * clamscan -r --remove -l /var/log/clamav/scan_tmp.txt /tmp/ 00 23 * * * clamscan -r --remove -l /var/log/clamav/scan_www.txt /var/www/
Existem também ferramentas para ajudar na localização de WEB Backdoors Shells.
Qual AV usar fica a seu critério, para mim o Clamav vem dando conta do recado. Existem diversas soluções no mercado, escolha a sua.
This policy contains information about your privacy. By posting, you are declaring that you understand this policy:
This policy is subject to change at any time and without notice.
These terms and conditions contain rules about posting comments. By submitting a comment, you are declaring that you agree with these rules:
Failure to comply with these rules may result in being banned from submitting further comments.
These terms and conditions are subject to change at any time and without notice.
Comentários