LINUX.ORG.RU

Обнаружен троян Linux.BackDoor.Xnote.1.

 ,


0

4

Компания «Доктор Веб» предупреждает о появлении многофункциональной вредоносной программы. Зловред получил обозначение Linux.BackDoor.Xnote.1

В процессе распространения трояна злоумышленники путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH. Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя (root).
Для получения инструкций зловред осуществляет последовательный опрос управляющих серверов по списку. Перед передачей пакетов троян и управляющий сервер сжимают их с использованием библиотеки zlib.
Сначала троян отправляет на сервер злоумышленников информацию об инфицированной системе, после чего переходит в режим ожидания команд от удалённого сервера. Если команда подразумевает выполнение какого-либо задания, для его реализации создаётся отдельный процесс, устанавливающий собственное соединение с управляющим сервером.

Вредоносная программа по команде киберпреступников может назначить заражённой машине уникальный идентификатор, начать DDoS-атаку на удалённый узел с заданным адресом (среди возможных типов атак — SYN Flood, UDP Flood, HTTP Flood и NTP Amplification), прекратить начатую ранее атаку, обновить исполняемый файл бэкдора, записать информацию в файл или удалить себя.
Кроме того, предусмотрен широкий набор функций для работы с файловыми объектами: это создание, отправка, приём, переименование и запуск файлов, а также различные действия с каталогами.

Подробности

Перемещено Pinkbyte из security

★★★★

Компания «Доктор Веб» предупреждает

Бедняги. Мало того, что это единственная контора, сотрудники которой подхватывают вирусы под линуксом, так они ещё и пытаются общаться и кого-то предупредить. Это так трогательно. Прям Форест Гамп какой-то.

ziemin ★★
()

А ещё при получении рут доступа по ssh можно поставить wget и им скачать любой вирус, сделать его исполняемым и запустить. Или же просто выполнить один известный однострочник на перле. На кого вообще рассчитаны такие новости?

PS

Тега «юмор» не хватает в теме.

peregrine ★★★★★
()
Ответ на: комментарий от peregrine

Заточил уже руки, привык, набирать - не проблема. Но мб и в правду перейду на ключи.

Valdor ★★
()
Ответ на: комментарий от peregrine

На кого вообще рассчитаны такие новости?

На вантузятников: типа крутая контора, даж под непонятные линукчы вирусы находит. Круть, надо брать.

mandala ★★★★★
()
Ответ на: комментарий от Valdor

мне он и не нужен был, даже если б я знал ip и имя

grem ★★★★★
()

В процессе распространения трояна злоумышленники путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH.

То есть использовать ключи, и этого хватит?

sT331h0rs3 ★★★★★
()
Ответ на: комментарий от sT331h0rs3

То есть использовать ключи, и этого хватит?

для тех кто в танке повторю:

1. поставить OpenSSH, поднять sshd, разрешить доступ.

2. использовать порт 22

3. разрешить вход по паролю, а не по ключу

4. разрешить вход руту(тоже по паролю)

5. установить пароль из 3х букв/цифр (или двух)

6. отключить защиту от перебора

7. ????

8. PROFIT

emulek
()
Ответ на: комментарий от sT331h0rs3

Я имею в виду, как обезопасить себя от этого.

такая фигня уже давно существует, много этого разного.

Я не представляю, каким надо быть сказочным долбо***, что-бы это подцепить.

emulek
()

В процессе распространения трояна злоумышленники путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH. Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя (root).

Ядро патчить надо?

redgremlin ★★★★★
()
Ответ на: комментарий от Poisoned

В чем отличие от сотен других «червей», которые на регулярной основе стучатся на мою VPS и пытаются залогиниться под рутом, не зная, что он отключен?

Где вы таких древних червей находите? У меня только продвинутые китайские, они цельный список имён пробуют (и стандартные типа admin, sqamba, postgres, и имена типа harry, pete, и даже понятину), под рутом даже не пытаются логиниться.

redgremlin ★★★★★
()

А что нельзя нормальный вирус для линукса сделать

В процессе распространения трояна злоумышленники путём подбора пароля взламывают учётные записи для доступа к атакуемому компьютеру по протоколу SSH. Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя (root).

сколько можно этим дерьмом линуксоидов удовлетворять? хуже только если его еще скачать нужно было и запустить

Deleted
()
Ответ на: комментарий от redgremlin

То есть из-за этого по гентушной вики уже понять, что это такое, нельзя?

ты тоже дебил? Я прекрасно знаю, что это такое. Я не понимаю, нахрена оно нужно в ssh? Может объяснишь?

упс, не тому отправил, извини.

emulek
()
Последнее исправление: emulek (всего исправлений: 1)
Ответ на: комментарий от entefeed

MaxAuthTries Specifies the maximum number of authentication attempts permitted per connection. Once the number of failures reaches half this value, additional failures are logged. The default is 6.

хотя-бы.

emulek
()
Ответ на: комментарий от emulek

per connection

per connection, не per address. Можно открыть 100500 одновременных соединений с одного адреса, можно открывать новые со старого адреса каждый раз после достигнутого MaxAuthTries. Это даже близко никакой защитой от брутфорса не пахнет.

entefeed ☆☆☆
()
Ответ на: комментарий от DeadEye

Он матчасти не знает. А как привел конкретику вместо отмазок - сразу сел в лужу.

entefeed ☆☆☆
()

Где скачать? Как собрать? А если работать не будет как патчить? Он в репах есть?

oblepiha_tau
()

путём подбора пароля взламывают учётные записи

Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя (root)

Анацефалы должны страдать.

no-such-file ★★★★★
()

бэээ....
Как только вижу в темах *nix упоминания типа док.вэб и лаб.касперов не вольно наворачивается улыбка =)))

ЗЫ: они наверно сами их(«зловредов») пишут чтоб хоть как то зацепится за рынок - продажи у них падают что ли? или жадность незнает границ?...

beta9092
()
Ответ на: комментарий от beta9092

они наверно сами их(«зловредов») пишут чтоб хоть как то зацепится за рынок - продажи у них падают что ли? или жадность не знает границ?...

dhameoelin ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.