El teu blog de Linux en català

Un troià per a GNU/Linux al servidor IRcd passa desapercebut durant un any

La versió per a GNU/Linux del servidor IRC Unreal IRCd ha estat contaminada amb un troià des del novembre de 2009 sense que ningú se n’adonara. L’anunci s’ha fet als fòrums de la pàgina web oficial del projecte. Allà, els desenvolupadors comenten el següent:

Hem descobert que el fitxer Unreal3.2.8.1.tar.gz que es troba als nostres servidors es va reemplaçar fa un temps per una versió amb un troià. Aquest troià permet a qualsevol persona executar qualsevol ordre amb els privilegis de l’usuari que està executant el servidor ircd. […] Sembla que el reemplaç va ser al novembre de 2009 (almenys a alguns servidors). Ningú no se n’ha adonat fins ara.

Això ens ha d’ensenyar a tots els perills d’executar programari de tercers. GNU/Linux és un sistema segur, per descomptat, però un sistema és tan segur com nosaltres el fem. Per això mateix l’invent del «root» és una de les millors bases amb les que juguem. De tota manera tampoc no cal que el pànic s’escampe: aquests casos encara són aïllats.

Descobert un troià per a Linux a un salvapantalles de gnome-look

Havia d’arribar algun dia. S’ha informat de l’aparició d’un troià ocult a dins d’un paquet .deb a la famosa pàgina Gnome-Look (una pàgina on es poden trobar icones, fons d’escriptori, temes, etc. que en alguns casos ja venen empaquetats per a diferents distribucions).

Sembla que la instal·lació d’aquest paquet .deb, destinat a usuaris no avançats i que afecta a sistemes Debian, instal·la un script que deixa el sistema preparat per al llançament d’atacs de denegació de servei (DDoS). Si això no fora suficient, el troià s’actualitza ell mateix baixant noves versions del mateix. Sembla que, a més, aquest troià s’ha pujat uns quants cops a la web de gnome-look per facilitar la seua propagació. S’ha informat que al tema “ninja black” també s’ha trobat aquest troià.

Eliminació del troià

Per eliminar el troià cal eliminar una sèrie d’scripts (en cas que es troben al nostre sistema). Només cal executar les dues següents ordres que, per una part, eliminar els scripts i el deb instal·lat:

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash
sudo dpkg -r app5552

Un cop fet això, estarem fora de perill.

Aneu amb compte

Fa un parell de dies el PellRoja va iniciar un fil al fòrum per fer una mica d’autocrítica respecte a GNU/Linux. Entre els punts comentats, estava els dels virus. Actualment és complicat que Linux quede infectat, però això no vol dir que siga impossible. Davant d’usuaris ingenus que instal·len qualsevol paquet trobat a qualsevol lloc, la fortalesa de Linux cau. I això és el que ha passat amb aquest paquet: gnome-look no és realment una pàgina de confiança, o no com ho poden ser els repositoris oficials i de la comunitat de diferents distribucions. Per tant, a partir d’ara caldrà anar amb molt de compte amb quins paquets instal·leu: caldrà que comproveu sempre que les fonts són de confiança.

I no ens em de confondre: usuaris no avançats som tots aquells que som incapaços de mirar el codi font o entendre una miqueta com funciona. Hi ha molta gent al darrere “vigilant” per nosaltres, però això no vol dir que hagem de baixar la guàrdia. Gnome-look és una pàgina molt important per al programari lliure (a l’igual que kde-look), per la qual cosa hauran de canviar la seua política en aquest aspecte per poder assegurar als usuaris que allò que es baixen és de confiança.

GNULinux||||CAT - Si no s'indica el contrari, el contingut text es troba disponible sota els termes d'una llicència Atribució - CompartirIgual 3.0

Delicately crafted using Franz Josef theme and WordPress.