Автор Тема: Вирус DDos.  (Прочитано 3812 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн sx88

Вирус DDos.
« : 05 Июля 2015, 15:25:02 »
Сегодня обнаружил при помощи clamscan вирус
/usr/bin/zalgymtjhr: Unix.Trojan.DDoS_XOR-1 FOUND
Вот что по этому поводу пишут интернет:
Spoiler: ShowHide
Attackers using XOR.DDoS prey on users who haven't changed default logins for their devices through brute force tactics against various network IDs. If successful, the trojan will then determine whether it's compatible with the kernel headers installed on the victims' systems and install a rootkit, if so.

Не смотря на то, что у меня серый ip каким образом удается "системному_инженеру" найти следи и целенаправленно брутфорснуть?
Помню что была подобная тема https://debianforum.ru/index.php?topic=9334.msg75010#msg75010
Собственно линуксом начал пользоваться потому как не было нужды ставить антивирусы и фаерволы ибо вирусов не было
Spoiler: ShowHide
даже шутка была такая: чтобы запустить вирус, надо его еще скомпилировать и удовлетворить зависимости
Получается что теперь надо обзаводиться фаерволом и т.п. софтом?
 

Оффлайн sidbar

Re: Вирус DDos.
« Ответ #1 : 05 Июля 2015, 15:39:25 »
Странно, я пробовал на свежеустановленном сканить порты извне, ни один не открыт, т.е. какая-то настройка по умолчанию есть. Айпи тут ни при чем, когда подгружаете из сети файлы через броузер, все на автомате прописывается и вас не нужно брутфорсить) Я вот юзал раньше прогу, доступная в настройках little snitch, спокойно с ней было и все как на ладони, все поползновения программ, а тут, да,  смотрю сейчас в iptraf постоянные запросы с транзакциями происходят, а lsof -ni показывает только ppp соединение с провайдером, все сервисы остановлены и браузер не активен.
Devuan GNU/Linux 4 (chimaera/ceres) x86_64
 

Оффлайн sx88

Re: Вирус DDos.
« Ответ #2 : 05 Июля 2015, 15:45:49 »
Странно, я пробовал на свежеустановленном сканить порты извне, ни один не открыт
Возможно, это остатки прошлого вируса, который куда ни поподя слал запросы. При том у меня был гениальный пароль из 3 цифр (больше было лень писать, за что и поплатился).

Айпи тут ни при чем, когда подгружаете из сети файлы через броузер, все на автомате прописывается
В смысле? Да, грешен, порой куки включены. Но каким образом вирус прописался в каталог /usr/bin ведь к нему доступ только у рута? Опять же взломали рут-пароль.
 

Оффлайн sidbar

Re: Вирус DDos.
« Ответ #3 : 06 Июля 2015, 20:24:49 »
Но каким образом вирус прописался в каталог /usr/bin ведь к нему доступ только у рута? Опять же взломали рут-пароль.
Если юзать систему установленую со старого компакт-диска, там будет как правило версия браузера с уязвимостями, на некоторых сайтах прописывается скриптинг, браузер исполняет код, устанавливая вирус в систему. iceweasel открывает папку file:///usr/bin/, как прописать что-то в систему я не знаю, но смотрел презентацию как один паренек на время ломал ос через броузер.
Devuan GNU/Linux 4 (chimaera/ceres) x86_64
 

Оффлайн Андрей_1

  • Местный житель
  • ***
  • Сообщений: 194
Re: Вирус DDos.
« Ответ #4 : 09 Июля 2015, 06:18:51 »
Никогда не пользовался антивирусом в Debian. Вот задумался о том что у меня есть некие общие ресурсы в сети. Установил clamscan, отсканировал несколько каталогов - Infected files: 0 . Но вот вопрос о том что допустим найдены вирусы, дальше просто удалять файл или clamscan сам предложит варианты?
 

Оффлайн sx88

Re: Вирус DDos.
« Ответ #5 : 14 Июля 2015, 18:14:15 »
дальше просто удалять файл или clamscan сам предложит варианты?
я проверял так
clamscan --log=/home/sx/log_antivirus -r -i /bin
делает логирование в log_antivirus
--infected отображает только инфицированы
--i отображает только инфицированы файлы
-r  рекурсивное сканирование (в подкаталогах)
можно добавить -remove -- для автоматического удаления вирусов и зараженных файлов
 

Оффлайн Винсент

  • Пользователь
  • *
  • Сообщений: 40
Re: Вирус DDos.
« Ответ #6 : 11 Февраля 2018, 12:14:17 »
Unix.Trojan.DDoS_XOR-1
Рекомендую обновить программное обеспечение на сервере чтобы залатать дыры:
apt-get update
apt-get upgrade
apt-get full-upgrade

Cообщение объединено 11 Февраля 2018, 12:19:46
Сегодня обнаружил при помощи clamscan вирус
/usr/bin/zalgymtjhr: Unix.Trojan.DDoS_XOR-1 FOUND
Вот что по этому поводу пишут интернет:
Spoiler: ShowHide
Attackers using XOR.DDoS prey on users who haven't changed default logins for their devices through brute force tactics against various network IDs. If successful, the trojan will then determine whether it's compatible with the kernel headers installed on the victims' systems and install a rootkit, if so.

Не смотря на то, что у меня серый ip каким образом удается "системному_инженеру" найти следи и целенаправленно брутфорснуть?
Помню что была подобная тема https://debianforum.ru/index.php?topic=9334.msg75010#msg75010
Собственно линуксом начал пользоваться потому как не было нужды ставить антивирусы и фаерволы ибо вирусов не было
Spoiler: ShowHide
даже шутка была такая: чтобы запустить вирус, надо его еще скомпилировать и удовлетворить зависимости
Получается что теперь надо обзаводиться фаерволом и т.п. софтом?
Так же попробуйте rkhunter
apt-get install rkhunter
rkhunter
« Последнее редактирование: 11 Февраля 2018, 12:19:46 от Винсент »
 

Теги: