Ruby 2.0 released, with multiarch support^W^W^W^W

Ruby 2.0 was released today. This new version of the language brings some very interesting features, and according to the core team, an effort has been made to keep source level compartibility with Ruby 1.9.

Debian packaging is under way and should hit NEW soon. During the last few days I gave more attention to getting the new multiarch support fixed upstream than to the packaging bits, but the remaining packaging work should be pretty much about housekeeping.

Next steps from a Debian point of view (after Wheezy is out) include:

• add Ruby 2.0 support in gem2deb (should be trivial).
• check what packages need fixing to support Ruby 2.0, and which are broken beyond repair.
• figure out how to better exploit a multiarch-enabled Ruby.

Now let’s get back to fixing RC bugs and getting Wheezy released. :-)

UPDATE 2013-03-06: actually the multiarch support is broken in 2.0.0, and the bugs I reported were only fixed in trunk. I will probably backport those fixes in the Debian package.

Servidores Linux com Nginx são alvos de rootkit

Semana passada ( 13/nov ) foi divulgado na lista Full-disclosure um novo rootkit que tem como alvos servidores Linux usando o webserver Nginx.

Segundo stack trace, vítima do ataque, o malware adiciona um iFrame malicioso na resposta HTTP enviada pelo servidor web. Após o comprometimento o servidor passa a encaminhar as requisições para outros sites maliciosos, além disso um Blackhole varre o host do visitante a procura de falhas no Java, Flash entre outras aplicações rodando na máquina cliente.

Foi descoberto até o momento um módulo especifico para o kernel 2.6.32-5-amd64, presente no Debian Linux. Pesquisadores da Karpersky Labs nomearam o malware como Rootkit.Linux.Snakso.a, outra análise bastante interessante é do pesquisador Georg Wicherski da CrowdStrike, ele considerou o rootkit como parte da operação do cybercrime e que pelas técnicas adotadas foi desenvolvido por programador russo sem muito conhecimento do kernel.

Medidas Preventivas:

Realmente não existe mágica na proteção contra novos malwares porém posso sugerir algumas recomendações básicas:

- Manter uma rotina de varredura de antivirus mesmo em servidores Linux;
- Utilizar um IDS ou um WAF e monitorá-lo diariariamente;
- Utilizar um HIDS alertando sobre modificações das páginas hospedadas no servidor.
- Utilizar camadas de segurança de kernel como SELinux,GRsecurity ou Tomoyo ;
- Identificando comportamentos anormais no servidor ou site usar comandos para identificar atividades maliciosas como strace ( e.g. strace -fp PID ) e lsof ( e.g. lsof -i )
- Sempre que identificar um servidor ou site comprometido bloquear os acessos imediatamente.