Pesquisador descobre outro “usuário não documentado” em VPS da CloudAtCost, dessa vez no Ubuntu

backdoor_face

Em janeiro deste ano sites e fóruns especializados em Linux divulgaram a notícia de que o host de servidores virtuais privados (VPS) CloudAtCost estaria inserindo um usuário “não documentado” em instalações de Debian Linux (versão 8) nos VPS hospedados por eles. De acordo com uma postagem recente no blog do pesquisador Zachary Dubois, tal prática não restringe a essa distribuição.

Dubois contratou os serviços do CloudAtCost e criou oito VPS, todos rodando Ubuntu (v. 14.04 LTS); ao checar as instalações, o pesquisador encontrou – em todas elas –  um usuário com o nome “user” e ID 1000. Ele especula que o usuário pode ter sido criado a partir de um script que o CloudAtCost usa como modelo para criação das imagens do sistema operacional, mas destaca o fato dele ter privilégios de administrador.

O pesquisador recomenda a remoção do usuário usando o comando:

deluser –remove-home –remove-all-files user

Mas ele destaca que apenas uma instalação “limpa” do Ubuntu – usando uma imagem confiável – garante um sistema seguro.

Além dessas precauções recomendamos que, ao contratar serviços, seja feita uma leitura cuidadosa do contrato, verificando todas as cláusulas. Neste caso específico (hospedagem de VPS), usuários existentes devem estar discriminados.