Вирус DDos.

sx88 · 05 июля 2015, 15:25:02

Сегодня обнаружил при помощи clamscan вирус

/usr/bin/zalgymtjhr: Unix.Trojan.DDoS_XOR-1 FOUND

Вот что по этому поводу пишут интернет:

Открыть содержимое (спойлер)

Attackers using XOR.DDoS prey on users who haven't changed default logins for their devices through brute force tactics against various network IDs. If successful, the trojan will then determine whether it's compatible with the kernel headers installed on the victims' systems and install a rootkit, if so.

[свернуть]

Не смотря на то, что у меня серый ip каким образом удается "системному_инженеру" найти следи и целенаправленно брутфорснуть?
Помню что была подобная тема https://debianforum.ru/index.php?topic=9334.msg75010#msg75010
Собственно линуксом начал пользоваться потому как не было нужды ставить антивирусы и фаерволы ибо вирусов не было

Открыть содержимое (спойлер)

даже шутка была такая: чтобы запустить вирус, надо его еще скомпилировать и удовлетворить зависимости

[свернуть]

Получается что теперь надо обзаводиться фаерволом и т.п. софтом?

sidbar · 05 июля 2015, 15:39:25

Странно, я пробовал на свежеустановленном сканить порты извне, ни один не открыт, т.е. какая-то настройка по умолчанию есть. Айпи тут ни при чем, когда подгружаете из сети файлы через броузер, все на автомате прописывается и вас не нужно брутфорсить) Я вот юзал раньше прогу, доступная в настройках little snitch, спокойно с ней было и все как на ладони, все поползновения программ, а тут, да, смотрю сейчас в iptraf постоянные запросы с транзакциями происходят, а lsof -ni показывает только ppp соединение с провайдером, все сервисы остановлены и браузер не активен.

sx88 · 05 июля 2015, 15:45:49

Цитата: sidbar от 05 июля 2015, 15:39:25Странно, я пробовал на свежеустановленном сканить порты извне, ни один не открыт

Возможно, это остатки прошлого вируса, который куда ни поподя слал запросы. При том у меня был гениальный пароль из 3 цифр (больше было лень писать, за что и поплатился).

Цитата: sidbar от 05 июля 2015, 15:39:25Айпи тут ни при чем, когда подгружаете из сети файлы через броузер, все на автомате прописывается

В смысле? Да, грешен, порой куки включены. Но каким образом вирус прописался в каталог /usr/bin ведь к нему доступ только у рута? Опять же взломали рут-пароль.

sidbar · 06 июля 2015, 20:24:49

Цитата: sx88 от 05 июля 2015, 15:45:49Но каким образом вирус прописался в каталог /usr/bin ведь к нему доступ только у рута? Опять же взломали рут-пароль.

Если юзать систему установленую со старого компакт-диска, там будет как правило версия браузера с уязвимостями, на некоторых сайтах прописывается скриптинг, браузер исполняет код, устанавливая вирус в систему. iceweasel открывает папку file:///usr/bin/, как прописать что-то в систему я не знаю, но смотрел презентацию как один паренек на время ломал ос через броузер.

Андрей_1 · 09 июля 2015, 06:18:51

Никогда не пользовался антивирусом в Debian. Вот задумался о том что у меня есть некие общие ресурсы в сети. Установил clamscan, отсканировал несколько каталогов - Infected files: 0 . Но вот вопрос о том что допустим найдены вирусы, дальше просто удалять файл или clamscan сам предложит варианты?

sx88 · 14 июля 2015, 18:14:15

Цитата: Андрей_1 от 09 июля 2015, 06:18:51дальше просто удалять файл или clamscan сам предложит варианты?

я проверял так
clamscan --log=/home/sx/log_antivirus -r -i /bin
делает логирование в log_antivirus
--infected отображает только инфицированы
--i отображает только инфицированы файлы
-r рекурсивное сканирование (в подкаталогах)
можно добавить -remove -- для автоматического удаления вирусов и зараженных файлов

Винсент · 11 февраля 2018, 12:14:17

Цитата: sx88 от 05 июля 2015, 15:25:02Unix.Trojan.DDoS_XOR-1

Рекомендую обновить программное обеспечение на сервере чтобы залатать дыры:
apt-get update
apt-get upgrade
apt-get full-upgrade

Cообщение объединено 11 февраля 2018, 12:19:46

Цитата: sx88 от 05 июля 2015, 15:25:02
Сегодня обнаружил при помощи clamscan вирус
Код Выделить Развернуть
/usr/bin/zalgymtjhr: Unix.Trojan.DDoS_XOR-1 FOUND

Вот что по этому поводу пишут интернет:
Открыть содержимое (спойлер)
Attackers using XOR.DDoS prey on users who haven't changed default logins for their devices through brute force tactics against various network IDs. If successful, the trojan will then determine whether it's compatible with the kernel headers installed on the victims' systems and install a rootkit, if so.
[свернуть]
Не смотря на то, что у меня серый ip каким образом удается "системному_инженеру" найти следи и целенаправленно брутфорснуть?
Помню что была подобная тема https://debianforum.ru/index.php?topic=9334.msg75010#msg75010
Собственно линуксом начал пользоваться потому как не было нужды ставить антивирусы и фаерволы ибо вирусов не было
Открыть содержимое (спойлер)
даже шутка была такая: чтобы запустить вирус, надо его еще скомпилировать и удовлетворить зависимости
[свернуть]
Получается что теперь надо обзаводиться фаерволом и т.п. софтом?

Так же попробуйте rkhunter
apt-get install rkhunter
rkhunter